Azure-beli biztonsági alapkonfiguráció a Data Factoryhez
Ez a biztonsági alapkonfiguráció a Microsoft cloud security benchmark 1.0-s verziójának útmutatását alkalmazza a Data Factoryre. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Data Factoryre vonatkozó kapcsolódó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.
Megjegyzés
A Data Factoryre nem alkalmazható funkciók ki lettek zárva. A Data Factory teljes biztonsági alapkonfiguráció-leképezési fájljában megtekintheti, hogy a Data Factory hogyan képezi le teljesen a Microsoft felhőbiztonsági teljesítménytesztet.
Biztonsági profil
A biztonsági profil összefoglalja a Data Factory nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Elemzés, integráció |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatás megjegyzései: Az Azure-SSIS integrációs modul támogatja a virtuális hálózat injektálást az ügyfél virtuális hálózatán. Azure-SSIS Integration Runtime (IR) létrehozásakor csatlakoztathatja azt egy virtuális hálózathoz. Lehetővé teszi, hogy Azure Data Factory hozzon létre bizonyos hálózati erőforrásokat, például egy NSG-t és egy terheléselosztót. Saját statikus nyilvános IP-címet is megadhat, vagy Azure Data Factory létrehozhat egyet. A helyi integrációs modul (IR) beállítható az IaaS virtuális gépen az ügyfél virtuális hálózatán belül. A hálózati forgalmat az ügyfél NSG- és tűzfalbeállításai is szabályozzák.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Csatlakozás az Azure-SSIS integrációs modulhoz egy virtuális hálózathoz
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatás megjegyzései: Az Azure-SSIS integrációs modul támogatja a virtuális hálózat injektálást az ügyfél virtuális hálózatán. Betartja az ügyfél által a virtuális hálózatban beállított összes NSG- és tűzfalszabályt. Azure-SSIS Integration Runtime (IR) létrehozásakor csatlakoztathatja azt egy virtuális hálózathoz. Lehetővé teszi, hogy Azure Data Factory hozzon létre bizonyos hálózati erőforrásokat, például egy NSG-t és egy terheléselosztót. Saját statikus nyilvános IP-címet is megadhat, vagy Azure Data Factory létrehozhat egyet. A Azure Data Factory által automatikusan létrehozott NSG-n a 3389-ös port alapértelmezés szerint minden forgalom számára nyitva van. A port zárolásával győződjön meg arról, hogy csak a rendszergazdák rendelkeznek hozzáféréssel.
A helyi integrációs modul (IR) beállítható az IaaS virtuális gépen az ügyfél virtuális hálózatán belül. A hálózati forgalmat az ügyfél NSG- és tűzfalbeállításai is szabályozzák.
Az alkalmazások és a vállalati szegmentálási stratégia alapján korlátozza vagy engedélyezze a belső erőforrások közötti forgalmat az NSG-szabályok alapján. Bizonyos, jól definiált alkalmazások, például egy háromrétegű alkalmazások esetében ez alapértelmezés szerint rendkívül biztonságos megtagadás lehet.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Csatlakozás az Azure-SSIS integrációs modulhoz egy virtuális hálózathoz
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűrésére (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
További útmutatás: Privát végpontokat konfigurálhat a Azure Data Factory felügyelt Virtual Network az adattárakhoz való privát csatlakozáshoz.
A Data Factory nem biztosítja Virtual Network szolgáltatásvégpontok konfigurálásának lehetőségét.
Az Azure-SSIS Integration Runtime (IR) létrehozásakor csatlakoztathatja azt egy virtuális hálózathoz. Lehetővé teszi, hogy Azure Data Factory hozzon létre bizonyos hálózati erőforrásokat, például egy NSG-t és egy terheléselosztót. Saját statikus nyilvános IP-címet is megadhat, vagy Azure Data Factory létrehozhat egyet. A Azure Data Factory által automatikusan létrehozott NSG-n a 3389-ös port alapértelmezés szerint minden forgalom számára nyitva van. Zárolja a portot, hogy csak a rendszergazdák rendelkezzenek hozzáféréssel. Helyszíni gépen vagy Azure-beli virtuális gépen helyezhet üzembe Self-Hosted IRS-eket egy virtuális hálózaton belül. Győződjön meg arról, hogy a virtuális hálózati alhálózat üzembe helyezése rendelkezik olyan NSG-vel, amely csak rendszergazdai hozzáférést engedélyez. Azure-SSIS IR alapértelmezés szerint letiltja a 3389-ös portot a Windows tűzfalszabálynál minden integrációs modulcsomóponton a védelem érdekében. A virtuális hálózatban konfigurált erőforrások védelméhez társíthat egy NSG-t az alhálózattal, és szigorú szabályokat állíthat be.
Referencia: Azure Data Factory Azure Private Link
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: A nyilvános hálózati hozzáférés letiltása csak a Self-Hosted Integration Runtime (SHIR) esetében alkalmazható, az Azure IR-hez vagy az SSIS IR-hez nem. Az SHIR használatával a privát kapcsolat adat-előállítójának engedélyezése nem tiltja le explicit módon a nyilvános hozzáférést, de az ügyfél manuálisan is letilthatja a nyilvános hozzáférést.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Azure Data Factory Azure Private Link
Identitáskezelés
További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A Data Factory natív hitelesítést végezhet az Azure AD hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Felügyelt identitás Azure Data Factory
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például egy helyi felhasználónév és jelszó. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkció megjegyzései: Windows-hitelesítéssel hozzáférhet az adatforrásokhoz az Azure-SSIS Integration Runtime (IR) rendszeren futó SSIS-csomagokból. Az adattárak lehetnek a helyszínen, az Azure Virtual Machines (virtuális gépek) vagy az Azure-ban felügyelt szolgáltatásokként futnak. Javasoljuk azonban, hogy lehetőleg kerülje a helyi hitelesítés használatát és a Azure AD használatát. Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ahol csak lehetséges, ezeket le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Adattárak és fájlmegosztások elérése Windows-hitelesítéssel az Azure-beli SSIS-csomagokból
IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Alapértelmezés szerint az adat-előállító Azure Portal vagy PowerShell használatával történő létrehozásakor a felügyelt identitás automatikusan létrejön. Az SDK vagy a REST API használatával a felügyelt identitás csak akkor jön létre, ha a felhasználó explicit módon adja meg az "identity" kulcsszót.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Felügyelt identitás Azure Data Factory és Azure Synapse
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A Data Factory lehetővé teszi a felügyelt identitások használatát, a szolgáltatás alapelveit az adattárakon való hitelesítéshez és az AAD-hitelesítést támogató számításokhoz.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Feltételes hozzáférés: Felhőalkalmazások, műveletek és hitelesítési környezet
IM-8: A hitelesítő adatok és titkos kódok kitettségének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Az adattárakhoz és számításokhoz tartozó hitelesítő adatokat egy Azure-Key Vault tárolhatja. Az Azure Data Factory lekéri a hitelesítő adatokat az adattárat/számítási kapacitást használó tevékenység végrehajtásakor.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Hitelesítő adatok tárolása az Azure Key Vault
Emelt szintű hozzáférés
További információt a Microsoft felhőalapú biztonsági teljesítménytesztje: Privileged access (Emelt szintű hozzáférés) című témakörben talál.
PA-1: A kiemelt jogosultsággal rendelkező/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás egy helyi rendszergazdai fiók fogalmával rendelkezik. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: A Data Factory integrálható az Azure RBAC-vel az erőforrásainak kezeléséhez. Az RBAC-vel szerepkör-hozzárendeléseken keresztül kezelheti az Azure-erőforrások hozzáférését. Szerepköröket rendelhet felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz. Egyes erőforrások előre definiált, beépített szerepkörökhöz tartoznak. Ezeket a szerepköröket az Azure CLI, a Azure PowerShell vagy a Azure Portal segítségével leltárba helyezheti vagy lekérdezheti.
Korlátozza az erőforrásokhoz az Azure RBAC-ben hozzárendelt jogosultságokat a szerepkörök által megköveteltre. Ez a gyakorlat kiegészíti az Azure AD PIM igény szerinti (JIT) megközelítését. Rendszeresen tekintse át a szerepköröket és a hozzárendeléseket.
Engedélyek megadása beépített szerepkörök használatával. Csak akkor hozzon létre egyéni szerepköröket, ha szükséges.
Egyéni szerepkört hozhat létre Azure AD a Data Factoryhoz való szigorúbb hozzáféréssel.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Szerepkörök és engedélyek a Azure Data Factory
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Ügyfélzárolás a Microsoft Azure-hoz
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) adatfelderítéshez és -besoroláshoz használhatók a szolgáltatásban. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: A Data Factory csatlakoztatása a Microsoft Purview-hoz
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok átvitelének figyelésére (az ügyfél tartalmaiban). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Biztonsági szempontok az adatáthelyezési Azure Data Factory
DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Azure Data Factory titkosítása ügyfél által felügyelt kulcsokkal
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcs lehetőséget az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása CMK használatával
Leírás: Az inaktív adatok ügyfél által felügyelt kulcsokat használó titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.
Referencia: Azure Data Factory titkosítása ügyfél által felügyelt kulcsokkal
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault-integrációt minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.
Referencia: Hitelesítő adatok tárolása az Azure Key Vault
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault-ban
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.
Referencia: Hitelesítő adatok tárolása az Azure Key Vault
Eszközkezelés
További információkért lásd a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című cikket.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetben. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésekben lévő erőforrásokat. Az Azure Monitor használatával szabályokat is létrehozhat, hogy riasztásokat aktiváljon, amikor nem jóváhagyott szolgáltatást észlelnek.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.
Referencia: Azure Policy Data Factory beépített definíciói
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender a szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás egy ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: Az Azure-beli virtuális gépeken és -tárolókon futó saját üzemeltetésű integrációs modul (SHIR) a Defendert használja a biztonságos konfiguráció létrehozásához.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy Log Analytics-munkaterületre. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: A tevékenységnaplók automatikusan elérhetők. A tevékenységnaplók segítségével hibákat kereshet a hibaelhárítás során, vagy figyelheti, hogy a szervezet felhasználói hogyan módosították az erőforrásokat.
A Microsoft Defender for Cloud és a Azure Policy használatával engedélyezheti az erőforrásnaplókat és a naplóadatok gyűjtését.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Diagnosztikai beállítások az Azure Monitorban
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem Azure Backup). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Az Azure Data Factory összes kódjára vonatkozó biztonsági mentéshez használja a Data Factory verziókövetési funkcióit.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.
Referencia: Forrásvezérlő a Azure Data Factory
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről