Azure Data Share 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインは、Azure セキュリティ ベンチマーク バージョン 3.0 のガイダンスを Azure Data Shareに適用します。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、セキュリティ制御によってグループ化されています。これは、Azure セキュリティ ベンチマークと、Azure Data Share に適用できる関連ガイダンスによって定義されています。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ダッシュボードの [規制コンプライアンス] セクションに一覧表示されます。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するために、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

注意

Azure Data Shareに適用されない機能は除外されています。 Azure Data Share を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な Azure Data Share セキュリティ ベースライン マッピング ファイルを参照してください。

セキュリティ プロファイル

セキュリティ プロファイルは、Azure Data Shareの影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。

サービス動作属性
製品カテゴリ MGMT/ガバナンス
お客様は HOST/OS にアクセスできます アクセス権なし
サービスは顧客の仮想ネットワークにデプロイできます False
保存時に顧客のコンテンツを保存する False

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: ネットワーク セグメント化の境界を確立する

特徴

ネットワーク セキュリティ グループのサポート

説明: サービス ネットワーク トラフィックは、そのサブネットでのネットワーク セキュリティ グループルールの割り当てを尊重します。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する

特徴

説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG またはAzure Firewallと混同しないでください)。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-3: 転送中の機密データの暗号化

特徴

転送中のデータの暗号化

説明: サービスは、データ プレーンの転送中のデータ暗号化をサポートします。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True True Microsoft

構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。

リファレンス: Azure Data Share のセキュリティの概要

DP-4: 保存データ暗号化を既定で有効にする

特徴

プラットフォーム キーを使用した保存データの暗号化

説明: プラットフォーム キーを使用した保存データの暗号化がサポートされ、保存中の顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

DP-5: 必要に応じて保存データ暗号化でカスタマー マネージド キー オプションを使用する

特徴

CMK を使用した保存データの暗号化

説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって格納される顧客コンテンツでサポートされます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

アセット管理

詳細については、「 Azure セキュリティ ベンチマーク: 資産管理」を参照してください。

AM-2: 承認済みのサービスのみを使用する

特徴

Azure Policy のサポート

説明: サービス構成は、Azure Policyを使用して監視および適用できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するようにAzure Policyを構成します。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。 Azure Policy [deny] 効果と [deploy if not exists] 効果を使用して、Azure リソース間でセキュリティで保護された構成を適用します。

ログと脅威検出

詳細については、「 Azure セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。

LT-4: セキュリティ調査のためにログ記録を有効にする

特徴

Azure リソース ログ

説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントや Log Analytics ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: Data Shareがサービスに関連するデータまたはイベントを保持するためのリソース ログ (診断設定) を有効にします。

リファレンス: Azure Data Shareの監視 - 診断設定

次の手順