Az Azure biztonsági alapkonfigurációja az Azure Spatial Anchorshoz

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 3.0-s verziójának útmutatását alkalmazza az Azure Spatial Anchorsra. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és az Azure Spatial Anchorsra vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender for Cloud irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy funkció releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy segítsen felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure Spatial Anchors szolgáltatásra nem alkalmazható funkciók ki lettek zárva. Annak megtekintéséhez, hogy az Azure Spatial Anchors hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure Spatial Anchors biztonsági alapkonfiguráció-leképezési fájlt.

Biztonsági profil

A biztonsági profil összefoglalja az Azure Spatial Anchors nagy hatású viselkedését, ami nagyobb biztonsági szempontokat eredményezhet.

Szolgáltatás viselkedési attribútuma Érték
Product Category (Termék kategóriája) Vegyes valóság
Az ügyfél hozzáférhet a HOST/OS-hez Nincs hozzáférés
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában Hamis
Az inaktív ügyféltartalmakat tárolja Igaz

Hálózati biztonság

További információ: Az Azure biztonsági teljesítménytesztje: Hálózati biztonság.

NS-1: Hálózati szegmentálási határok létrehozása

Funkciók

Virtuális hálózat integrációja

Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Hálózati biztonsági csoport támogatása

Leírás: A szolgáltatás hálózati forgalma figyelembe véve a hálózati biztonsági csoportok szabályhozzárendelését az alhálózatokon. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel

Funkciók

Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Nyilvános hálózati hozzáférés letiltása

Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabállyal (nem NSG vagy Azure Firewall), vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Identitáskezelés

További információ: Azure Security Benchmark: Identity Management.

IM-1: Központosított identitás- és hitelesítési rendszer használata

Funkciók

Azure AD adatsík-hozzáféréshez szükséges hitelesítés

Leírás: A szolgáltatás támogatja Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.

Referencia: Hitelesítés és engedélyezés az Azure Spatial Anchorsban

Helyi hitelesítési módszerek az adatsík-hozzáféréshez

Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például a helyi felhasználónév és jelszó. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Megosztott

Funkcióval kapcsolatos megjegyzések: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ahol csak lehetséges, ezeket le kell tiltani. Ehelyett használjon Azure AD a hitelesítéshez, ahol csak lehetséges.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

További útmutató: Nincs szükség további konfigurációkra, mivel az Azure Platform felügyeli

Referencia: Spatial Anchors-fiókkulcsok

IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése

Funkciók

Felügyelt identitások

Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Egyszerű szolgáltatások

Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Szolgáltatásjegyzetek: Dönthet úgy, hogy hitelesítést hajt Azure AD az erőforrások eléréséhez a standard szolgáltatásnevek használatával. Az Azure Spatial Anchors nem rendelkezik a szolgáltatásnevek speciális kihasználtságával/integrálásával.

Konfigurációs útmutató: A felügyelt identitásokat nem támogató szolgáltatások esetében az Azure Active Directory (Azure AD) használatával hozzon létre korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrás szintjén. Konfigurálja a szolgáltatásneveket tanúsítványhitelesítő adatokkal, és térjen vissza az ügyfél titkos kulcsaihoz hitelesítés céljából.

Referencia: Alkalmazás- és szolgáltatásnév-objektumok az Azure Active Directoryban

IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján

Funkciók

Adatsík feltételes hozzáférése

Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása

Funkciók

A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault

Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Privileged access.

PA-1: A kiemelt jogosultságú/rendszergazda felhasználók elkülönítése és korlátozása

Funkciók

Helyi Rendszergazda fiókok

Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmát veszi figyelembe. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet

Funkciók

Azure RBAC adatsíkhoz

Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsíkműveleteihez való felügyelt hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Spatial Anchors három, már meglévő szerepkört biztosít a különböző erőforrásrétegbeli hozzáféréshez: Spatial Anchors-fióktulajdonos Spatial Anchors-fiók közreműködője Spatial Anchors-fiókolvasó

Referencia: Azure szerepköralapú hozzáférés-vezérlés

Adatvédelem

További információ: Az Azure biztonsági teljesítménytesztje: Adatvédelem.

DP-2: Bizalmas adatokat célzó anomáliák és fenyegetések monitorozása

Funkciók

Adatszivárgás/veszteségmegelőzés

Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatáthelyezés figyeléséhez (az ügyfél tartalmában). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-3: Bizalmas adatok titkosítása átvitel közben

Funkciók

Adatok átviteltitkosítása

Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Funkciójegyzetek: A TLS 1.2 az átvitt adatok titkosítására szolgál, de ezt a beállítást a felhasználó nem konfigurálhatja, és automatikusan alkalmazza.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Azure Spatial Anchors HTTPS-kommunikáció

DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint

Funkciók

Inaktív adatok titkosítása platformkulcsokkal

Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítása a Microsoft által felügyelt kulcsokkal történik. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Azure Spatial Anchors-adattárolás

DP-5: Ügyfél által felügyelt kulcs lehetőség használata inaktív adatok titkosítása esetén, ha szükséges

Funkciók

Inaktív adatok titkosítása a CMK használatával

Leírás: Az inaktív adatok ügyfél által felügyelt kulcsokat használó titkosítása támogatott a szolgáltatás által tárolt ügyféltartalmak esetében. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Eszközkezelés

További információ: Azure Security Benchmark: Asset Management.

AM-2: Csak jóváhagyott szolgáltatások használata

Funkciók

Az Azure Policy támogatása

Leírás: A szolgáltatáskonfigurációk Azure Policy keresztül figyelhetők és kényszeríthetők. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhat Azure Policy az Azure-erőforrások konfigurációinak naplózásához és kikényszerítéséhez. Az Azure Monitor használatával riasztásokat hozhat létre, ha az erőforrások konfigurációs eltérést észlelnek. Használjon Azure Policy [megtagadási] és [üzembe helyezési, ha nem létezik] effektusokat az Azure-erőforrások biztonságos konfigurációjának kikényszerítéséhez.

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelési képességek engedélyezése

Funkciók

Microsoft Defender for Service / Termékajánlat

Leírás: A szolgáltatás egy ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

LT-4: Naplózás engedélyezése biztonsági vizsgálathoz

Funkciók

Azure-erőforrásnaplók

Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Biztonsági másolat és helyreállítás

További információkért tekintse meg az Azure Biztonsági teljesítménytesztet: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Funkciók

Azure Backup

Leírás: A szolgáltatásról a Azure Backup szolgáltatás készíthet biztonsági másolatot. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Szolgáltatás natív biztonsági mentési képessége

Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használ Azure Backup). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Funkciójegyzetek: Alapértelmezés szerint engedélyezve van az objektumreplikálás az Azure Blob Storage-ban. Az ügyfél azonban nem tudja konfigurálni a funkciót.

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Következő lépések