Azure biztonsági alapkonfiguráció az Azure Data Boxhoz

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza az Azure Data Boxra. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és az Azure Data Boxra vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ha egy funkció releváns Azure Policy definíciókat sorol fel ebben az alapkonfigurációban, az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak megfelelőségének méréséhez. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure Data Boxra nem alkalmazható vezérlők, valamint azok, amelyekhez a globális útmutatást kimondottan ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy az Azure Data Box hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure Data Box biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Belső forgalom biztonságának megvalósítása

Útmutató: Az Azure Data Box nem támogatja a virtuális hálózaton való közvetlen üzembe helyezést. Bizonyos hálózati funkciók nem alkalmazhatók az ajánlat erőforrásaival, például:

  • Hálózati biztonsági csoportok (NSG-k)
  • Útvonaltáblák
  • Egyéb hálózatfüggő berendezések, például Azure Firewall

Alapértelmezés szerint a Data Box a TLS 1.2-t használja. Ha valamelyik rendszere nem engedélyezte a TLS 1.2-t, a Data Box lehetővé teszi a TLS 1.1/1.0 engedélyezését a helyi felhasználói felületen keresztül.

A virtuális hálózattal rendelkező tárfiókok támogatottak. Engedélyezi, hogy a Data Box biztonságos tárfiókokkal működjön? Ezután engedélyezze a megbízható szolgáltatásokat a tárfiók hálózatának tűzfalbeállításai között.

Felelősség: Ügyfél

NS-7: Biztonságos tartománynév-szolgáltatás (DNS)

Útmutató: Kövesse a DNS-biztonság ajánlott eljárásait. Ezek a gyakorlatok mérsékelik a gyakori támadásokat, például:

  • Dangling DNS
  • DNS-erősítő támadások
  • DNS-mérgezés és hamisítás

Ha az Azure DNS-t használja mérvadó DNS-szolgáltatásként, győződjön meg arról, hogy a DNS-zónák és -rekordok védve vannak a véletlen vagy rosszindulatú módosításoktól. Azure-beli szerepköralapú hozzáférés-vezérlés (RBAC) és erőforrás-zárolások használata.

A Data Box azt javasolja, hogy hozza magával a saját tanúsítványait. Ha az eszköz által létrehozott alapértelmezett tanúsítványok használata mellett dönt, az ebben a dokumentumban leírt útmutatást kell követnie.

Adjon hozzá egy hivatkozást az ügyfelek által felügyelhető DNS-konfigurációkról.

Felelősség: Ügyfél

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: A Data Box helyi hitelesítést használ a következő célokra:

  • Eszközhozzáférés szabályozása az eszköz zárolási hozzáférési kulcsán keresztül.

  • SMB-hitelesítő adatok az adatok eszközre és eszközről történő másolásához.

  • Azure Storage-fiókkulcsok a Data Box REST API-kon keresztüli eléréséhez.

  • AZ NFS-hozzáférés IP-címkonfigurációja.

További információért olvassa el ezeket a cikkeket:

Felelősség: Ügyfél

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: Az Azure Data Box azt javasolja, hogy az Azure Active Directory (Azure AD) használatával hozzon létre korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrás szintjén. Konfigurálja a szolgáltatásneveket a tanúsítvány hitelesítő adataival, és térjen vissza az ügyfél titkos kulcsaihoz. Mindkét esetben azure-beli felügyelt identitásokkal használhatja az Azure Key Vault, így a futtatókörnyezet (például egy Azure-függvény) lekérheti a hitelesítő adatokat a kulcstartóból.

A Data Box segítségével saját kulcsokat használhat titkosításhoz. Emellett saját jelszavakat is használhat az eszközhöz és a megosztásokhoz.

Felelősség: Megosztott

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Az Azure Data Box a Azure AD használatával biztosítja az identitás- és hozzáférés-kezelést a következő célokra:

  • Azure-erőforrások
  • Felhőalkalmazások
  • Helyszíni alkalmazások

Ez a felügyelet a következőket foglalja magában:

  • Vállalati identitások, például alkalmazottak.
  • Külső identitások, például partnerek, szállítók és szállítók.

Ezzel az identitás- és hozzáférés-kezeléssel az egyszeri bejelentkezés (SSO) felügyelheti és biztonságossá teheti a szervezeti adatokhoz és erőforrásokhoz való hozzáférést. A hozzáférés a helyszínen és a felhőben is érvényes. Csatlakoztassa az összes felhasználót, alkalmazást és eszközt a Azure AD. Azure AD zökkenőmentes, biztonságos hozzáférést, valamint nagyobb láthatóságot és vezérlést biztosít.

A Data Box-erőforrás létrehozásához a Data Box Azure AD használ az előfizetés hitelesítéséhez.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-1: Emelt jogosultságú felhasználók védelme és korlátozása

Útmutató: Alapértelmezés szerint nincsenek kiemelt jogosultságú felhasználók. Ritka esetekben előfordulhat, hogy meg kell nyitnia egy támogatási munkamenetet (emelt szintű jogosultságokkal). Ehhez a támogatási munkamenethez a Microsoft támogatási személyzetével való koordináció szükséges.

Az ügyfeleknek nem kell Azure AD kiemelt jogosultságú fiókokat, például a Data Box helyi szintű rendszergazdai fiókjait használniuk és kezelnie.

Felelősség: Megosztott

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: Data Box-erőforrás létrehozásához és kezeléséhez az ügyfélnek be kell jelentkeznie Azure AD-alapú előfizetéssel.

Ezeket a beépített szerepköröket használhatja:

  • Data Box Reader. Ez a szerepkör csak olvasási hozzáféréssel rendelkezik a rendelésekhez a hatókör által meghatározott módon. A szerepkör csak egy megrendelés részleteit tekintheti meg. Nem fér hozzá a tárfiókokkal kapcsolatos egyéb adatokhoz. Nem tudja szerkeszteni a rendelés részleteit, például a címet.

  • Data Box-közreműködő. Ha az ügyfél már rendelkezik írási hozzáféréssel egy tárfiókhoz, ez a szerepkör létrehozhat egy rendelést az adatoknak az adott fiókba való átviteléhez. Ha az ügyfél nem rendelkezik hozzáféréssel egy tárfiókhoz, nem tud Data Box-rendelést létrehozni az adatok fiókba másolásához. Ez a szerepkör nem határoz meg tárfiókokkal kapcsolatos engedélyeket. Nem biztosít hozzáférést a tárfiókokhoz.

  • Data Box-erőforrások létrehozása és kezelése

  • Beépített RBAC-szerepkörök a Data Boxhoz

Felelősség: Megosztott

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: Az Azure Data Box integrálható az Azure RBAC-vel az erőforrásainak kezelése érdekében.

Az első létrehozáskor szabályozhatja, hogy ki férhet hozzá a Data Box-rendeléshez. A Data Box-rendeléshez való hozzáférés szabályozásához különböző hatókörökben állíthat be Azure-szerepköröket.

Az Azure Data Box szolgáltatáshoz definiálható két beépített szerepkör a következő:

  • Data Box Reader. Ez a szerepkör csak olvasási hozzáféréssel rendelkezik a rendelésekhez a hatókör által meghatározott módon. A szerepkör csak a megrendelés részleteit tekintheti meg. Nem fér hozzá a tárfiókokhoz kapcsolódó egyéb adatokhoz. Nem szerkesztheti a rendelés részleteit, például a címet.

  • Data Box-közreműködő. Ha az ügyfél már rendelkezik írási hozzáféréssel egy tárfiókhoz, ez a szerepkör létrehozhat egy megrendelést az adatoknak az adott fiókba való átviteléhez. Ha az ügyfél nem rendelkezik hozzáféréssel egy tárfiókhoz, nem hozhat létre Data Box-rendelést az adatok fiókba másolásához. Ez a szerepkör nem határoz meg tárfiókokkal kapcsolatos engedélyeket. Emellett nem biztosít hozzáférést a tárfiókokhoz.

  • Beépített RBAC-szerepkörök a Data Box-erőforráshoz

Felelősség: Megosztott

PA-8: Jóváhagyási folyamat kiválasztása a Microsoft támogatásához

Útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ügyféladatokhoz, az Azure Data Box támogatja az Ügyfélszéfet. Az Ügyfélszéf egy felületet biztosít az ügyfelek adathozzáférési kérelmeinek áttekintéséhez, majd jóváhagyásához vagy elutasításához.

Felelősség: Megosztott

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-2: A bizalmas adatok védelme

Útmutató: Bizalmas adatok védelme a hozzáférés korlátozásával a következő használatával:

  • Azure RBAC.
  • Hálózati hozzáférés-vezérlés.
  • Az Azure-szolgáltatások speciális vezérlői (például titkosítás).

A hozzáférés-vezérlés konzisztens szabályozása érdekében minden típusú hozzáférés-vezérlést a vállalati szegmentálási stratégiához kell igazítania. Tájékoztassa vállalati szegmentálási stratégiáját a bizalmas vagy üzleti szempontból kritikus fontosságú adatok és rendszerek helyéről.

A Mögöttes Microsoft által felügyelt platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel. Védi az ügyfelek adatvesztését és kitettségét. Annak érdekében, hogy az Azure-beli ügyféladatok biztonságban legyenek, a Microsoft néhány alapértelmezett adatvédelmi vezérlőt és képességet használ.

A Data Box titkosítja az inaktív és az összes átvitt adatot.

Felelősség: Megosztott

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: A Data Box támogatja az SMB-titkosítást. Az NFS is támogatott, de a protokoll használatakor az ügyfeleknek előre titkosítaniuk kell az adataikat.

A hozzáférés-vezérlés kiegészítése érdekében titkosítással védje az átvitt adatokat a "sávon kívüli" támadásoktól (például a forgalom rögzítésétől). Ez a művelet biztosítja, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Az Azure Data Box támogatja az adattitkosítást a TLS 1.2-s vagy újabb verziójával történő átvitel során.

Bár ez a képesség nem kötelező a privát hálózatokon történő forgalomhoz, a külső és nyilvános hálózatokon történő forgalom szempontjából kritikus fontosságú. HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. Távoli felügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén) a titkosítatlan protokoll helyett. Tiltsa le a gyenge titkosításokat és a következő protokollok elavult verzióit:

  • SSL
  • TLS
  • SSH

Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.

Felelősség: Megosztott

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítése érdekében az Azure Data Box titkosítja az inaktív adatokat a titkosítást használó "sávon kívüli" támadások (például a mögöttes tároló elérése) elleni védelem érdekében. Ez a művelet biztosítja, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Az Azure alapértelmezés szerint titkosítást biztosít az inaktív adatokhoz. A rendkívül bizalmas adatok esetében további titkosítást alkalmazhat inaktív állapotban az összes Azure-erőforráson, ahol elérhető. Az Azure alapértelmezés szerint kezeli a titkosítási kulcsokat. Ugyanakkor lehetővé teszi a saját kulcsok (ügyfél által felügyelt kulcsok) kezelését is bizonyos Azure-szolgáltatásokhoz a jogszabályi követelményeknek való megfelelés érdekében.

Felelősség: Megosztott

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Adjon biztonsági olvasói engedélyeket az Azure-bérlőben és -előfizetésekben található biztonsági csapatoknak. Ezután a biztonsági csapatok a Microsoft Defender for Cloud használatával figyelhetik a biztonsági kockázatokat.

A biztonsági csapat feladatainak struktúrája alapján egy központi biztonsági csapat vagy egy helyi csapat felelhet a biztonsági kockázatok monitorozásáért. A biztonsági megállapításokat és kockázatokat mindig központilag összesítheti egy szervezeten belül.

A biztonsági olvasó engedélyeit széles körben alkalmazhatja egy teljes bérlőre (gyökérszintű felügyeleti csoportra). Vagy hatókörbe helyezheti ezeket az engedélyeket felügyeleti csoportokra vagy adott előfizetésekre.

Megjegyzés: A számítási feladatok és szolgáltatások láthatóságának eléréséhez további engedélyekre lehet szükség.

Felelősség: Ügyfél

AM-2: Az összetevőleltár és a metaadatok biztonsági csapat általi elérhetőségének biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok hozzáférhetnek az Azure-beli eszközök folyamatosan frissített leltárához, például az Azure Data Boxhoz. A biztonsági csapatoknak gyakran szükségük van erre a leltárra annak kiértékeléséhez, hogy szervezetük milyen potenciálisan ki van téve a felmerülő kockázatoknak. Ezeknek a csapatoknak a készletre is szükségük van a folyamatos biztonsági fejlesztések bemeneteként.

Hozzon létre egy Azure AD csoportot, amely tartalmazza a szervezet engedélyezett biztonsági csapatát. Ezután rendelje hozzá a csoport olvasási hozzáférését az összes Azure Data Box-erőforráshoz. Ezt a folyamatot egyetlen magas szintű szerepkör-hozzárendeléssé egyszerűsítheti az előfizetésen belül.

Az Azure Data Box nem használ címkéket. Az ügyfelek nem alkalmazhatnak és nem használhatnak címkéket az erőforrás-metaadatokhoz az osztályozás logikai rendszerezéséhez.

Az Azure-beli virtuális gépek leltárának használatával automatizálhatja a szoftverekkel kapcsolatos információk gyűjtését Virtual Machines. A Azure Portal a következő információs mezőket teszi elérhetővé:

  • Szoftvernév
  • Verzió
  • Publisher
  • Frissítés időpontja

A telepítési dátumokhoz és egyéb információkhoz való hozzáféréshez engedélyezze a vendégszintű diagnosztikát. Ezután hozza a Windows eseménynaplóit egy Log Analytics-munkaterületre.

Az Azure Data Box nem teszi lehetővé alkalmazások futtatását vagy szoftverek telepítését az erőforrásaira.

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: Az Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetében. Az Azure Resource Graph segítségével lekérdezheti és felderítheti az előfizetéseikben lévő erőforrásokat. Az Azure Monitor használatával olyan szabályokat is létrehozhat, amelyek riasztásokat aktiválnak egy nem jóváhagyott szolgáltatás észlelésekor.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: Az Azure Data Box ügyféloldali erőforrásnaplókat hoz létre, amelyeket felhasználhat a fenyegetésészleléshez.

Az Azure Data Box nem hoz létre a fenyegetésészleléshez használható naplókat. Ezek a naplók nem továbbíthatók monitorozási és riasztási SIEM-eszközökre.

Felelősség: Megosztott

LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez

Útmutató: Azure AD a következő felhasználói naplókat biztosítja, amelyek megtekinthetők Azure AD jelentéskészítésben. A kifinomultabb monitorozási és elemzési használati esetekhez integrálhatja őket az Azure Monitorral, a Microsoft Sentinellel vagy más SIEM/monitorozási eszközökkel.

  • Bejelentkezések. A bejelentkezési jelentés információkat nyújt a felügyelt alkalmazások használatáról és a felhasználói bejelentkezési tevékenységekről.

  • Auditnaplók. Az auditnaplók nyomon követhetőséget biztosítanak az Azure AD különböző funkciói által végrehajtott módosításokhoz. Az auditnaplók közé tartoznak az erőforrások Azure AD belüli módosításai, például a következők hozzáadása vagy eltávolítása:

    • Felhasználók
    • Alkalmazások
    • Csoportok
    • Szerepkörök
    • Szabályzatok
  • Kockázatos bejelentkezések. A kockázatos bejelentkezés olyan bejelentkezési kísérletet jelez, amelyet olyan személy tehetett meg, aki nem a felhasználói fiók jogos tulajdonosa.

  • Kockázatosként megjelölt felhasználók. A kockázatos felhasználók olyan felhasználói fiókot jeleznek, amelyet esetleg feltörtek.

A Microsoft Defender for Cloud riasztásokat is aktiválhat bizonyos gyanús tevékenységekről. Ezek a tevékenységek túlzott számú sikertelen hitelesítési kísérletet vagy elavult fiókot tartalmazhatnak az előfizetésben. Az alapvető biztonsági higiénia-monitorozás mellett a Microsoft Defender for Cloud Veszélyforrások elleni védelem modulja részletesebb biztonsági riasztásokat is gyűjthet az alábbiakból:

  • Egyéni Azure számítási erőforrások (virtuális gépek, tárolók és App Service).
  • Adaterőforrások (SQL DB és tároló).
  • Azure-szolgáltatásrétegek.

Ezzel a képességgel áttekintheti az egyes erőforrások fiókanomáliáit.

Felelősség: Ügyfél

LT-3: Naplózás engedélyezése Azure-beli hálózati tevékenységekhez

Útmutató: Az Azure Data Box nem virtuális hálózatokba való üzembe helyezésre szolgál.

Nem használhat NSG-t az Azure Data Box-erőforrások bejövő és kimenő forgalmának kényszerítésére vagy átengedésére. Ezért nem konfigurálhat NSG-forgalomnaplózást az Azure Data Boxhoz.

Az Azure Data Box naplózza az összes olyan hálózati forgalmat, amelyet az ügyfélhozzáférés érdekében feldolgoz.

Az Azure Data Box nem teszi lehetővé a DNS-naplózás konfigurálását vagy elérhetővé tételét az ügyfél számára.

Felelősség: Megosztott

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: A tevékenységnaplók tartalmazzák az Azure Data Box-erőforrások összes írási műveletét (PUT, POST és DELETE). Ezek a naplók automatikusan elérhetők, de nem tartalmaznak olvasási műveleteket (GET). A tevékenységnaplók segítségével hibákat kereshet a hibaelhárítás során. Vagy használja ezeket a naplókat annak figyelésére, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.

A Data Box a következő erőforrásnaplókat hozza létre:

  • Naplók másolása
  • Naplók
  • A BOM-fájlok importálási sorrendben
  • Részletes naplók exportálási sorrendben

Az Azure Data Box biztonsági auditnaplókat is készít a helyi rendszergazdai fiókokhoz.

Felelősség: Megosztott

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: A Data Box az alapértelmezett Microsoft NTP-kiszolgálót használja. Csatlakoztassa az Azure Data Boxot ahhoz a hálózathoz, amely hozzáfér az alapértelmezett NTP-kiszolgálóhoz. Ellenkező esetben az Azure Data Box időeltolódást okozhat, ha le van választva.

Felelősség: Megosztott

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-1: Biztonságos konfigurációk kialakítása Azure-szolgáltatásokhoz

Útmutató: Az Azure Data Box nem támogatja a Microsoft Defender for Cloud egyes szabályzatait.

Beállíthat egy Azure-szabályzatot az Azure Data Box dupla titkosításának engedélyezéséhez. Vagy amikor megrendeli a Data Boxot, kérje az eszközön inaktív adatok dupla titkosításának engedélyezését.

Felelősség: Ügyfél

PV-2: Biztonságos konfigurációk fenntartása Azure-szolgáltatásokhoz

Útmutató: A Data Box a rendelés teljes élettartama alatt konfigurálja és zárolja az eszköz összes biztonsági beállítását.

Felelősség: Microsoft

PV-6: Szoftveres sebezhetőségi felmérések elvégzése

Útmutató: Nem alkalmazható; Az Azure Data Box nem támogatja a sebezhetőségi felméréseket.

A Microsoft belső biztonságirés-vizsgálatot végez az Azure Data Boxon.

Felelősség: Microsoft

PV-7: Szoftveres biztonsági rések gyors és automatikus javítása

Útmutató: A Microsoft kezeli az összes külső szoftverfrissítést.

Felelősség: Microsoft

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutatás: Szükség esetén végezzen behatolástesztelést vagy vörös csapattevékenységeket az Azure-erőforrásokon. Gondoskodjon az összes kritikus biztonsági megállapítás szervizeléséről.

Annak érdekében, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait, kövesse a Microsoft cloud behatolástesztelési szabályait. Használja a Microsoft stratégiáját és végrehajtását a Red Teaming és az élő webhely behatolási teszteléséhez a Microsoft által felügyelten:

  • Felhőinfrastruktúra
  • Szolgáltatások
  • Alkalmazások

További információért olvassa el a következő cikkeket:

Felelősség: Ügyfél

Végpontbiztonság

További információ: Azure Security Benchmark: Endpoint Security.

ES-2: Központilag felügyelt modern kártevőirtó szoftverek használata

Útmutató: Az Azure Data Box Windows Defender engedélyezve van.

Felelősség: Microsoft

ES-3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása

Útmutató: A Microsoft engedélyezi Windows Defender és karbantartja a frissítéseket az Azure Data Boxon.

Felelősség: Microsoft

Biztonsági másolat és helyreállítás

További információ: Azure Security Benchmark: Biztonsági mentés és helyreállítás.

BR-3: Az összes biztonsági másolat és az ügyfelek által kezelt kulcsok ellenőrzése

Útmutató: Rendszeresen győződjön meg arról, hogy visszaállíthatja az ügyfél által felügyelt kulcsokat, amelyekről biztonsági másolat készült.

Felelősség: Ügyfél

BR-4: A kulcsok elvesztésével járó kockázat csökkentése

Útmutató: Intézkedéseket kell hoznia a kulcsok elvesztésének megelőzésére és helyreállítására. Helyreállítható törlés és végleges törlés elleni védelem engedélyezése az Azure Key Vault-ban. Ez a művelet megvédi a kulcsokat a véletlen vagy rosszindulatú törlésekkel szemben.

Felelősség: Ügyfél

Következő lépések