Az Azure biztonsági alapkonfigurációja az Event Hubshoz
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza az Event Hubsra. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és az Event Hubsra vonatkozó kapcsolódó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender oldalÁnak Jogszabályi megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy segítsen felmérni a Microsoft felhőbiztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender tervre lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés
Az Event Hubsra nem alkalmazható funkciók ki lettek zárva. Az Event Hubs teljes felhőbiztonsági teljesítménytesztjének megtekintéséhez tekintse meg az Event Hubs biztonsági alapkonfigurációjának teljes leképezési fájlját.
Biztonsági profil
A biztonsági profil összefoglalja az Event Hubs nagy hatású viselkedését, ami nagyobb biztonsági szempontokat eredményezhet.
Szolgáltatás viselkedési attribútuma | Érték |
---|---|
Product Category (Termék kategóriája) | Elemzés |
Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Nincs hozzáférés |
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
Tárolja az inaktív ügyféltartalmakat | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Event Hubs-névtér virtuális hálózathoz való kötése kétlépéses folyamat. Először létre kell hoznia egy virtuális hálózati szolgáltatásvégpontot egy virtuális hálózat alhálózatán, és engedélyeznie kell azt a Microsoft.EventHub számára a szolgáltatásvégpont áttekintését ismertető cikkben leírtak szerint. Miután hozzáadta a szolgáltatásvégpontot, az Event Hubs-névteret egy virtuális hálózati szabmánnyal köti hozzá.
Referencia: Hozzáférés engedélyezése Azure Event Hubs névterekhez adott virtuális hálózatokról
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: Az Event Hubs támogatja a szolgáltatáscímkék használatát, amelyek hálózati hozzáférés-vezérlők meghatározására használhatók hálózati biztonsági csoportokon vagy Azure Firewall.
Konfigurációs útmutató: Biztonsági szabályok létrehozásakor használjon szolgáltatáscímkéket adott IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például az EventHubot) egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát.
Referencia: Szolgáltatáscímkék
NS-2: A felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Helyezzen üzembe privát végpontokat az összes olyan Azure-erőforráshoz, amely támogatja a Private Link funkciót, hogy privát hozzáférési pontot hozzon létre az erőforrások számára.
Referencia: Hozzáférés engedélyezése Azure Event Hubs névterekhez privát végpontokon keresztül
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy "Nyilvános hálózati hozzáférés letiltása" kapcsoló használatával támogatja a nyilvános hálózati hozzáférés letiltását. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Hozzáférés engedélyezése Azure Event Hubs névterekhez adott IP-címekről vagy tartományokból
Identitáskezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakörben talál.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.
Referencia: Felügyelt identitás hitelesítése az Azure Active Directoryval az Event Hubs-erőforrások eléréséhez
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például helyi felhasználónév és jelszó. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Funkciójegyzetek: A közös hozzáférésű jogosultságkód (SAS) engedélyezési szabályok alapján delegált hozzáférést biztosít az Event Hubs-erőforrásokhoz. Az engedélyezési szabálynak van egy neve, meghatározott jogosultságokkal van társítva, és titkosítási kulcsokat tartalmaz. A szabály nevét és kulcsát az Event Hubs-ügyfeleken vagy a saját kódjában használhatja SAS-jogkivonatok létrehozásához. Az ügyfél ezután átadhatja a jogkivonatot az Event Hubsnak, hogy igazolja a kért művelet engedélyezését. Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ahol csak lehetséges, ezeket le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Az Event Hubs-erőforrásokhoz való hozzáférés hitelesítése közös hozzáférésű jogosultságkódokkal (SAS)
IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait a platform teljes mértékben felügyeli, elforgatja és védi, elkerülve a forráskódban vagy konfigurációs fájlokban található, nehezen kódolt hitelesítő adatokat.
Referencia: Felügyelt identitás hitelesítése az Azure Active Directoryval az Event Hubs-erőforrások eléréséhez
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Alkalmazás hitelesítése az Azure Active Directoryval az Event Hubs-erőforrások eléréséhez
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésének megfelelő feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
IM-8: A hitelesítő adatok és titkos kódok kitettségének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Emelt szintű hozzáférés
További információt a Microsoft felhőalapú biztonsági teljesítménytesztje: Privileged access (Emelt szintű hozzáférés) című témakörben talál.
PA-1: A kiemelt jogosultsággal rendelkező/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás egy helyi rendszergazdai fiók fogalmával rendelkezik. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Funkciójegyzetek: Eseményközpont-névtér létrehozásakor a rendszer automatikusan létrehoz egy RootManageSharedAccessKey nevű szabályzatszabályt a névtérhez. Ez a szabályzat a teljes névtér engedélyeit kezeli. Javasoljuk, hogy rendszergazdai gyökérfiókként kezelje ezt a szabályt, és ne használja azt az alkalmazásban. A portál névterének Konfigurálása lapján további szabályzatszabályokat hozhat létre a PowerShell vagy az Azure CLI használatával. Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ahol csak lehetséges, ezeket le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Az Event Hubs-erőforrásokhoz való hozzáférés engedélyezése közös hozzáférésű jogosultságkódok használatával
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával felügyelheti az Azure-erőforrások hozzáférését beépített szerepkör-hozzárendelésekkel. Az Azure RBAC-szerepkörök felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz rendelhetők.
Referencia: Event Hubs-erőforrásokhoz való hozzáférés engedélyezése az Azure Active Directory használatával
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) adatfelderítéshez és -besoroláshoz használhatók a szolgáltatásban. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok átvitelének figyelésére (az ügyfél tartalmaiban). További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Event Hubs-névtér minimális TLS-verziójának konfigurálása
DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Ügyfél által felügyelt kulcsok konfigurálása Azure Event Hubs inaktív adatok titkosításához
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcsbeállítást az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása a CMK használatával
Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.
Referencia: Ügyfél által felügyelt kulcsok konfigurálása Azure Event Hubs inaktív adatok titkosításához
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok elforgatása és visszavonása az Azure Key Vault és a szolgáltatásban egy meghatározott ütemezés alapján, illetve kulcsok kivonása vagy biztonsága esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulcsával (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatáshoz (például HSM által védett kulcsokat importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kezdeti kulcslétrehozás és kulcsátvitel végrehajtásához.
Referencia: Ügyfél által felügyelt kulcsok konfigurálása Azure Event Hubs inaktív adatok titkosításához
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Eszközkezelés
További információkért lásd a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című cikket.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja a Azure Policy [deny] és a [deploy if not exists] (Üzembe helyezés, ha nem létezik) effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kényszerítéséhez.
Referencia: Azure Policy jogszabályi megfelelőségi vezérlők Azure Event Hubs
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender a szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás egy ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy Log Analytics-munkaterületre. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Engedélyezze az erőforrásnaplókat a szolgáltatáshoz. Például Key Vault támogatja a további erőforrásnaplókat olyan műveletekhez, amelyek titkos kulcsot kérnek le egy kulcstartóból, vagy Azure SQL olyan erőforrásnaplókkal rendelkezik, amelyek nyomon követik az adatbázisra irányuló kéréseket. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik.
Referencia: Adatok figyelése Azure Event Hubs
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem Azure Backup). További információ.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről