Az Azure biztonsági alapkonfigurációja Azure Cognitive Search
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a Azure Cognitive Search. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Azure Cognitive Search vonatkozó kapcsolódó útmutató szerint van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender oldalÁnak Jogszabályi megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy segítsen felmérni a Microsoft felhőbiztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender tervre lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés
A Azure Cognitive Search nem alkalmazható funkciók ki lettek zárva. A teljes Azure Cognitive Search biztonsági alapkonfiguráció-leképezési fájlból megtudhatja, hogyan képezi le teljesen Azure Cognitive Search a Microsoft felhőbiztonsági teljesítménytesztje.
Biztonsági profil
A biztonsági profil összefoglalja a Azure Cognitive Search nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
Szolgáltatás viselkedési attribútuma | Érték |
---|---|
Product Category (Termék kategóriája) | AI+ML, Mobile, Web |
Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Nincs hozzáférés |
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Hamis |
Tárolja az inaktív ügyféltartalmakat | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
NS-2: A felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: Privát végponton keresztüli kimenő kapcsolatok esetén lásd: Kimenő kapcsolatok létrehozása privát végponton keresztül
Konfigurációs útmutató: Privát végpontok üzembe helyezése az erőforrások privát hozzáférési pontjának létrehozásához. Tiltsa le a keresési szolgáltatás nyilvános végpontján lévő összes kapcsolatot. A virtuális hálózat biztonságának növeléséhez engedélyezze az adatok kiszivárgásának letiltását a virtuális hálózatból.
Referencia: Privát végpont létrehozása a Azure Cognitive Search biztonságos kapcsolatához
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy "Nyilvános hálózati hozzáférés letiltása" kapcsoló használatával támogatja a nyilvános hálózati hozzáférés letiltását. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Azure Cognitive Search támogatja a tűzfalon keresztüli bejövő hozzáférés IP-szabályait, hasonlóan az Azure-beli virtuális hálózati biztonsági csoportokban található IP-szabályokhoz. AZ IP-szabályok használatával korlátozhatja a keresési szolgáltatás hozzáférését a jóváhagyott gépekre és felhőszolgáltatásokra. A keresőszolgáltatásban a jóváhagyott gépcsoportokból és szolgáltatásokból tárolt adatokhoz való hozzáféréshez a hívónak továbbra is érvényes engedélyezési jogkivonatot kell bemutatnia.
Referencia: IP-tűzfal konfigurálása Azure Cognitive Search
Identitáskezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakörben talál.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például helyi felhasználónév és jelszó. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: A Cognitive Search kulcsalapú hitelesítést használ elsődleges hitelesítési módszerként. A keresési szolgáltatásvégpontra irányuló bejövő kérések, például az indexet létrehozó vagy lekérdező kérések esetében az API-kulcsok az egyetlen általánosan elérhető hitelesítési lehetőség.
Referencia: API-kulcsok használata Azure Cognitive Search hitelesítéshez
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Lehetőség szerint azure-beli felügyelt identitásokat használjon szolgáltatásnevek helyett, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait teljes mértékben felügyeli, rotálta és védi a platform, így elkerülheti a kódban vagy konfigurációs fájlokban található, nem rögzített hitelesítő adatokat.
Referencia: Keresési alkalmazáshoz való hozzáférés engedélyezése az Azure Active Directory használatával
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.
IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Adatsík feltételes hozzáférése
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Emelt szintű hozzáférés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.
PA-1: A magas jogosultsági szintű/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmával rendelkezik. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure globális szerepköralapú hozzáférés-vezérlési (RBAC) engedélyezési rendszert biztosít a platformon futó összes szolgáltatáshoz. A Cognitive Searchben az Azure-szerepköröket a következő célokra használhatja:
- Vezérlősík-műveletek (szolgáltatásfelügyeleti feladatok az Azure Resource Manager-on keresztül).
- Adatsíkműveletek, például indexek létrehozása, betöltése és lekérdezése.
Referencia: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használata a Azure Cognitive Search
PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélszéf segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-1: Bizalmas adatok felderítése, besorolása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban történő adatfelderítéshez és -besoroláshoz használhatók. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: Bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok áthelyezésének monitorozásához (az ügyfél tartalmában). További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: adattitkosítás Azure Cognitive Search
DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Azure Cognitive Search alapértelmezett adattitkosítás szolgáltatás által felügyelt kulcsokkal
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcs lehetőséget az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása CMK használatával
Leírás: Az inaktív adatok ügyfél által felügyelt kulcsokat használó titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Az inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.
Referencia: Ügyfél által felügyelt kulcsok konfigurálása adattitkosításhoz a Azure Cognitive Search
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault-integrációt minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok rotálása és visszavonása az Azure Key Vault-ban és a szolgáltatásban egy meghatározott ütemezés alapján, vagy kulcs kivezetése vagy sérülése esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatáshoz (például HSM által védett kulcsokat kell importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kezdeti kulcslétrehozáshoz és a kulcsátvitelhez.
Referencia: Ügyfél által felügyelt kulcsok konfigurálása adattitkosításhoz a Azure Cognitive Search
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault-ban
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Eszközkezelés
További információkért lásd a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című cikket.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja a Azure Policy [deny] és a [deploy if not exists] (Üzembe helyezés, ha nem létezik) effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kényszerítéséhez.
Referencia: Azure Cognitive Search szabályzatok
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender a szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás egy ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy Log Analytics-munkaterületre. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Engedélyezze a szolgáltatás erőforrásnaplóit a Azure Cognitive Search műveleti naplók, keresési metrikák stb. megtekintéséhez.
Referencia: Azure Cognitive Search erőforrásnapló
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem Azure Backup). További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: Mivel a Azure Cognitive Search nem elsődleges adattárolási megoldás, a Microsoft nem biztosít formális mechanizmust az önkiszolgáló biztonsági mentéshez és visszaállításhoz. Az index biztonsági mentését és visszaállítását azonban saját kóddal végezheti el. Lásd: Biztonsági mentési és visszaállítási alternatívák
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről