Beveiliging op ondernemings niveau, governance en nalevingEnterprise-scale security, governance and compliance

Dit artikel bevat informatie over het definiëren van versleuteling en sleutel beheer, het plannen van governance, het definiëren van beveiligings bewaking en een controle beleid en het plannen van platform beveiliging.This article covers defining encryption and key management, planning for governance, defining security monitoring and an audit policy, and planning for platform security. Aan het einde van het artikel, kunt u verwijzen naar een tabel waarin een Framework wordt beschreven voor het beoordelen van de beveiliging van Azure-Services op ondernemings niveau.At the end of the article, you can refer to a table that describes a framework to assess enterprise security readiness of Azure services.

Versleuteling en sleutel beheer definiërenDefine encryption and key management

Versleuteling is een belang rijke stap voor het garanderen van gegevens over privacy, naleving en gegevens locatie in Microsoft Azure.Encryption is a vital step toward ensuring data privacy, compliance, and data residency in Microsoft Azure. Het is ook een van de belangrijkste beveiligingskwesties voor veel ondernemingen.It's also one of the most important security concerns of many enterprises. Deze sectie behandelt ontwerp overwegingen en aanbevelingen voor het versleutelen van versleuteling en sleutel beheer.This section covers design considerations and recommendations as they pertain to encryption and key management.

Overwegingen bij het ontwerpenDesign considerations

  • Limieten voor abonnementen en schalen bij toepassing op Azure Key Vault: Key Vault heeft transactie limieten voor sleutels en geheimen.Subscription and scale limits as they apply to Azure Key Vault: Key Vault has transaction limits for keys and secrets. Zie Azure-limietenvoor het beperken van trans acties per kluis in een bepaalde periode.To throttle transactions per vault in a certain period, see Azure limits.

  • Key Vault fungeert als beveiligings grens omdat toegangs machtigingen voor sleutels, geheimen en certificaten zich op het niveau van de kluis bevinden.Key Vault serves a security boundary because access permissions for keys, secrets, and certificates are at the vault level. Key Vault toegangs beleid toewijzingen worden machtigingen afzonderlijk verleend aan sleutels, geheimen of certificaten.Key Vault access policy assignments grant permissions separately to keys, secrets, or certificates. Ze ondersteunen geen Granulaire machtigingen op object niveau, zoals een specifieke sleutel, geheim of certificaat sleutel beheer.They don't support granular, object-level permissions like a specific key, secret, or certificate key management.

  • U kunt toepassingsspecifieke en werkbelasting-specifieke geheimen en gedeelde geheimen isoleren, zoals de toegang totde juiste controle.You can isolate application-specific and workload-specific secrets and shared secrets, as appropriate control access.

  • U kunt Premium Sku's optimaliseren waarin sleutels met hardware-beveiliging zijn beveiligd.You can optimize Premium SKUs where hardware-security-module-protected keys are required. Onderliggende hardware security modules (Hsm's) zijn compatibel met FIPS 140-2 level 2.Underlying hardware security modules (HSMs) are FIPS 140-2 Level 2 compliant. Beheer de specifieke HSM van Azure voor FIPS 140-2 level 3 door de ondersteunde scenario's te overwegen.Manage Azure dedicated HSM for FIPS 140-2 Level 3 compliance by considering the supported scenarios.

  • De rotatie van de sleutel en het verloop van het geheim.Key rotation and secret expiration.

    • Inkopen en ondertekenen van certificaten met behulp van Key Vault over certificaten.Certificate procurement and signing by using Key Vault about certificates.
    • Waarschuwings-en meldings-en geautomatiseerde certificaat vernieuwingen.Alerting/notifications and automated certificate renewals.
  • Vereisten voor herstel na nood gevallen voor sleutels, certificaten en geheimen.Disaster recovery requirements for keys, certificates, and secrets.

    Key Vault service replicatie en failover-mogelijkheden: Beschik baarheid en redundantie.Key Vault service replication and failover capabilities: availability and redundancy.

  • De sleutel, het certificaat en het geheime gebruik bewaken.Monitoring key, certificate, and secret usage.

    Onbevoegde toegang detecteren met behulp van een sleutel kluis of Azure Monitor Log Analytics werk ruimte: bewaking en waarschuwingen.Detecting unauthorized access by using a key vault or Azure Monitor Log Analytics workspace: monitoring and alerting.

  • Gedelegeerd Key Vault instantiëring en bevoegde toegang: beveiligde toegang.Delegated Key Vault instantiation and privileged access: secure access.

  • Vereisten voor het gebruik van door de klant beheerde sleutels voor systeem eigen coderings mechanismen, zoals Azure Storage versleuteling:Requirements for using customer-managed keys for native encryption mechanisms such as Azure Storage encryption:

    • Door de klant beheerde sleutels.Customer-managed keys.
    • Versleuteling van de volledige schijf voor virtuele machines (Vm's).Whole-disk encryption for virtual machines (VMs).
    • Gegevens doorvoer versleuteling.Data-in-transit encryption.
    • Versleuteling van data-at-rest.Data-at-rest encryption.

Ontwerp aanbevelingenDesign recommendations

  • Gebruik een Federatie Azure Key Vault model om limieten voor transactie schaal te voor komen.Use a federated Azure Key Vault model to avoid transaction scale limits.

  • Geef Azure Key Vault op met het beleid voor voorlopig verwijderen en leegmaken om Bewaar beveiliging te ondersteunen voor verwijderde objecten.Provision Azure Key Vault with the soft delete and purge policies enabled to allow retention protection for deleted objects.

  • Volg een model met minimale bevoegdheden door autorisatie te beperken om sleutels, geheimen en certificaten definitief te verwijderen voor gespecialiseerde aangepaste Azure Active Directory-rollen (Azure AD).Follow a least privilege model by limiting authorization to permanently delete keys, secrets, and certificates to specialized custom Azure Active Directory (Azure AD) roles.

  • Automatiseer het certificaat beheer en het vernieuwings proces met open bare certificerings instanties om het beheer te vereenvoudigen.Automate the certificate management and renewal process with public certificate authorities to ease administration.

  • Stel een geautomatiseerd proces in voor het draaien van sleutels en certificaten.Establish an automated process for key and certificate rotation.

  • Schakel het eind punt firewall en virtueel netwerk service in de kluis in om de toegang tot de sleutel kluis te beheren.Enable firewall and virtual network service endpoint on the vault to control access to the key vault.

  • Gebruik de platform-Central Azure Monitor Log Analytics werk ruimte om de sleutel, het certificaat en het geheime gebruik te controleren binnen elk exemplaar van Key Vault.Use the platform-central Azure Monitor Log Analytics workspace to audit key, certificate, and secret usage within each instance of Key Vault.

  • Delegeer Key Vault instantiëring en bevoegde toegang en gebruik Azure Policy om een consistente, compatibele configuratie af te dwingen.Delegate Key Vault instantiation and privileged access and use Azure Policy to enforce a consistent compliant configuration.

  • Standaard naar door micro soft beheerde sleutels voor Principal-versleutelings functionaliteit en het gebruik van door de klant beheerde sleutels wanneer dat nodig is.Default to Microsoft-managed keys for principal encryption functionality and use customer-managed keys when required.

  • Gebruik geen gecentraliseerde instanties van Key Vault voor toepassings sleutels of geheimen.Don't use centralized instances of Key Vault for application keys or secrets.

  • Deel Key Vault instanties niet tussen toepassingen om te voor komen dat het delen van geheimen in verschillende omgevingen wordt gemeen.Don't share Key Vault instances between applications to avoid secret sharing across environments.

Plannen voor governancePlan for governance

Governance biedt mechanismen en processen om de controle over uw toepassingen en resources in Azure te behouden.Governance provides mechanisms and processes to maintain control over your applications and resources in Azure. Azure Policy is essentieel om te zorgen voor beveiliging en naleving in zakelijke technische zorg.Azure Policy is essential to ensuring security and compliance within enterprise technical estates. Dit kan essentiële beheer-en beveiligings conventies afdwingen voor Azure-platform Services en een aanvulling op op rollen gebaseerd toegangs beheer (RBAC) waarmee wordt bepaald welke acties geautoriseerde gebruikers kunnen uitvoeren.It can enforce vital management and security conventions across Azure platform services and supplement role-based access control (RBAC) that controls what actions authorized users can perform.

Overwegingen bij het ontwerpenDesign considerations

  • Bepaal wat Azure-beleid nodig is.Determine what Azure policies are needed.

  • Beheer-en beveiligings conventies afdwingen, zoals het gebruik van privé-eind punten.Enforce management and security conventions, such as the use of private endpoints.

  • Beleids toewijzingen beheren en maken met behulp van beleids definities kunnen opnieuw worden gebruikt bij meerdere overgenomen toewijzings bereiken.Manage and create policy assignments by using policy definitions can be reused at multiple inherited assignment scopes. U kunt gecentraliseerde, basislijn beleids toewijzingen in de beheer groep, het abonnement en de resource groep bereiken.You can have centralized, baseline policy assignments at management group, subscription, and resource group scopes.

  • Zorg voor continue naleving van nalevings rapportage en controle.Ensure continuous compliance with compliance reporting and auditing.

  • Begrijp dat Azure Policy limieten heeft, zoals de beperking van definities bij een bepaald bereik: beleids limieten.Understand that Azure Policy has limits, such as the restriction of definitions at any particular scope: policy limits.

  • Het nalevings beleid voor regelgeving begrijpen.Understand regulatory compliance policies. Dit kunnen de principes en criteria van het HIPAA-, PCI DSS-en SOC2-vertrouwens service zijn.These might include the HIPAA, PCI DSS, and SOC2 Trust Service Principles and Criteria.

Ontwerp aanbevelingenDesign recommendations

  • Identificeer vereiste Azure Tags en gebruik de modus beleid toevoegen om het gebruik af te dwingen.Identify required Azure tags and use the append policy mode to enforce usage.

  • Wijs vereisten voor regelgeving en naleving toe aan Azure Policy definities en de RBAC-toewijzingen van Azure AD.Map regulatory and compliance requirements to Azure Policy definitions and Azure AD RBAC assignments.

  • Stel Azure Policy definities in op de hoofd beheer groep op het hoogste niveau zodat ze kunnen worden toegewezen in overgenomen bereiken.Establish Azure Policy definitions at the top-level root management group so that they can be assigned at inherited scopes.

  • Beheer beleids toewijzingen op het hoogst passende niveau met uitsluitingen op onderste niveaus, indien nodig.Manage policy assignments at the highest appropriate level with exclusions at bottom levels, if required.

  • Gebruik Azure Policy om registraties van resource providers te beheren op het niveau van de abonnements-en/of beheer groep.Use Azure Policy to control resource provider registrations at the subscription and/or management group levels.

  • Gebruik ingebouwde beleids regels waar mogelijk om operationele overhead te minimaliseren.Use built-in policies where possible to minimize operational overhead.

  • Wijs de ingebouwde rol voor beleids Inzender toe aan een bepaald bereik om beheer op toepassings niveau in te scha kelen.Assign the built-in Policy Contributor role at a particular scope to enable application-level governance.

  • Beperk het aantal Azure Policy toewijzingen dat is gemaakt in het bereik van de hoofd beheer groep om te voor komen dat wordt beheerd door middel van uitsluitingen in overgenomen bereiken.Limit the number of Azure Policy assignments made at the root management group scope to avoid managing through exclusions at inherited scopes.

Beveiligings bewaking en controle beleid definiërenDefine security monitoring and an audit policy

Een onderneming moet inzicht hebben in wat er gebeurt in hun technische Cloud doel.An enterprise must have visibility into what's happening within their technical cloud estate. Beveiligings bewaking en logboek registratie van Azure platform Services is een belang rijk onderdeel van een schaalbaar Framework.Security monitoring and audit logging of Azure platform services is a key component of a scalable framework.

Overwegingen bij het ontwerpenDesign considerations

  • Bewaar periode voor gegevens voor controle gegevens.Data retention periods for audit data. Azure AD Premium-rapporten hebben een Bewaar periode van 30 dagen.Azure AD Premium reports have a 30-day retention period.

  • Lange termijn archivering van Logboeken, zoals Azure-activiteiten logboeken, VM-logboeken en PaaS-Logboeken (platform as a Service).Long-term archiving of logs such as Azure activity logs, VM logs, and platform as a service (PaaS) logs.

  • Basislijn beveiligings configuratie via Azure in-gast-VM-beleid.Baseline security configuration via Azure in-guest VM policy.

  • Nood patches voor kritieke beveiligings problemen.Emergency patching for critical vulnerabilities.

  • Patches voor virtuele machines die gedurende langere tijd offline zijn.Patching for VMs that are offline for extended periods of time.

  • Vereisten voor realtime-bewaking en waarschuwingen.Requirements for real-time monitoring and alerting.

  • Integratie van beveiligings gegevens en gebeurtenis beheer met Azure Security Center en Azure Sentinel.Security information and event management integration with Azure Security Center and Azure Sentinel.

  • Evaluatie van beveiligings problemen van Vm's.Vulnerability assessment of VMs.

Ontwerp aanbevelingenDesign recommendations

  • Gebruik de rapportage mogelijkheden van Azure AD om controle rapporten voor toegangs beheer te genereren.Use Azure AD reporting capabilities to generate access control audit reports.

  • Activiteiten logboeken van Azure exporteren naar Azure Monitor logboeken voor lange termijn gegevens retentie.Export Azure activity logs to Azure Monitor Logs for long-term data retention. Exporteren naar Azure Storage voor lange termijn opslag na een periode van twee jaar, indien nodig.Export to Azure Storage for long-term storage beyond two years, if necessary.

  • Schakel Security Center standaard voor alle abonnementen in en gebruik Azure Policy om de compatibiliteit te garanderen.Enable Security Center Standard for all subscriptions, and use Azure Policy to ensure compliance.

  • Controleer of het basis besturingssysteem patches per Azure Monitor logboeken en Azure Security Center.Monitor base operating system patching drift via Azure Monitor Logs and Azure Security Center.

  • Gebruik Azure-beleid om software configuraties automatisch te implementeren via VM-extensies en een compatibele VM-configuratie voor de basis lijn af te dwingen.Use Azure policies to automatically deploy software configurations through VM extensions and enforce a compliant baseline VM configuration.

  • Controleer de configuratie van de VM-beveiliging via Azure Policy.Monitor VM security configuration drift via Azure Policy.

  • Koppel standaard resource configuraties aan een gecentraliseerde Azure Monitor Log Analytics werk ruimte.Connect default resource configurations to a centralized Azure Monitor Log Analytics workspace.

  • Gebruik een op Azure Event Grid gebaseerde oplossing voor real-time waarschuwingen in het logboek.Use an Azure Event Grid-based solution for log-oriented, real-time alerting.

Platform beveiliging plannenPlan for platform security

U moet een gezonde beveiligings postuur onderhouden wanneer u Azure aanneemt.You must maintain a healthy security posture as you adopt Azure. Naast zicht baarheid moet u de oorspronkelijke instellingen en wijzigingen kunnen beheren terwijl de Azure-Services worden ontwikkeld.Besides visibility, you have to be able to control the initial settings and changes as the Azure services evolve. Daarom is het plannen van platform beveiliging de sleutel.Therefore, planning for platform security is key.

Overwegingen bij het ontwerpenDesign considerations

  • Gedeelde verantwoordelijkheid.Shared responsibility.

  • Hoge Beschik baarheid en herstel na nood gevallen.High availability and disaster recovery.

  • Consistente beveiliging van Azure-Services in termen van gegevens beheer-en beheer vlak bewerkingen.Consistent security across Azure services in terms of data management and control plane operations.

  • Multitenancy voor belang rijke platform onderdelen.Multitenancy for key platform components. Dit geldt ook voor Hyper-V, de Hsm's die Key Vault en data base-engines zijn.This includes Hyper-V, the HSMs underpinning Key Vault, and database engines.

Ontwerp aanbevelingenDesign recommendations

  • In de context van uw onderliggende vereisten voert u een gezamenlijk onderzoek uit van elke vereiste service.In the context of your underlying requirements, conduct a joint examination of each required service. Als u uw eigen sleutels wilt maken, wordt dit mogelijk niet ondersteund in alle services die worden beschouwd.If you want to bring your own keys, this might not be supported across all considered services. Implementeer relevante beperking zodat inconsistenties de gewenste resultaten niet belemmeren.Implement relevant mitigation so that inconsistencies don't hinder desired outcomes. Kies de juiste regio paren en nood herstel regio's die de latentie minimaliseren.Choose appropriate region pairs and disaster recovery regions that minimize latency.

  • Ontwikkel een beveiligings overzicht van een plan voor het beoordelen van services beveiligings configuratie, bewaking, waarschuwingen en hoe u deze kunt integreren met bestaande systemen.Develop a security allow-list plan to assess services security configuration, monitoring, alerts, and how to integrate these with existing systems.

  • Bepaal het antwoord plan voor incidenten voor Azure-Services voordat u het in productie neemt.Determine the incident response plan for Azure services before allowing it into production.

  • Gebruik de rapportage mogelijkheden van Azure AD om controle rapporten voor toegangs beheer te genereren.Use Azure AD reporting capabilities to generate access control audit reports.

  • U kunt uw beveiligings vereisten uitlijnen met Azure platform-route plannen om u op de hoogte te houden van recentelijk uitgebrachte beveiligings controles.Align your security requirements with Azure platform roadmaps to stay current with newly released security controls.

  • Implementeer, indien van toepassing, een vertrouw bare benadering voor toegang tot het Azure-platform.Implement a zero-trust approach for access to the Azure platform, where appropriate.

Azure Security-benchmarkAzure Security Benchmark

De Azure Security Bench Mark bevat een verzameling essentiële aanbevelingen voor beveiliging die u kunt gebruiken om de meeste services die u in azure gebruikt, te beveiligen.The Azure Security Benchmark includes a collection of high-impact security recommendations you can use to help secure most of the services you use in Azure. U kunt deze aanbevelingen als ' Algemeen ' of ' organisatie ' beschouwen als ze van toepassing zijn op de meeste Azure-Services.You can think of these recommendations as "general" or "organizational" as they are applicable to most Azure services. De aanbevelingen voor Azure Security Bench Mark worden vervolgens aangepast voor elke Azure-service en deze aangepaste richt lijnen zijn opgenomen in artikelen over service aanbevelingen.The Azure Security Benchmark recommendations are then customized for each Azure service, and this customized guidance is contained in service recommendations articles.

De documentatie voor Azure Security Bench Mark bevat beveiligings controles en service aanbevelingen.The Azure Security Benchmark documentation specifies security controls and service recommendations.

  • Beveiligings controles: de aanbevelingen voor Azure Security-benchmarks worden gecategoriseerd door beveiligings controles.Security controls: The Azure Security Benchmark recommendations are categorized by security controls. Beveiligings controles vertegenwoordigen neutraal beveiligings vereisten op hoog niveau, zoals netwerk beveiliging en gegevens bescherming.Security controls represent high-level vendor-agnostic security requirements, such as network security and data protection. Elk beveiligings beheer bevat een reeks beveiligings aanbevelingen en instructies voor het implementeren van deze aanbevelingen.Each security control has a set of security recommendations and instructions that help you implement those recommendations.
  • Aanbevelingen voor services: wanneer deze beschikbaar zijn, bevatten de benchmark aanbevelingen voor Azure-Services Azure Security Bench Mark-aanbevelingen die specifiek zijn afgestemd op die service.Service recommendations: When available, benchmark recommendations for Azure services will include Azure Security Benchmark recommendations that are tailored specifically for that service.

Framework service-activeringService enablement framework

Als Business units een aanvraag voor het implementeren van werk belastingen naar Azure, moet u extra inzicht in een werk belasting hebben om te bepalen hoe u de juiste niveaus van governance, beveiliging en naleving kunt krijgen.As business units request to deploy workloads to Azure, you need additional visibility into a workload to determine how to achieve appropriate levels of governance, security, and compliance. Wanneer een nieuwe service vereist is, moet u deze toestaan.When a new service is required, you need to allow it. De volgende tabel bevat een framework voor het beoordelen van de Bedrijfs beveiliging van Azure-Services:The following table provides a framework to assess enterprise security readiness of Azure services:

BeoordelingAssessment CategorieCategory CriteriaCriteria
BeveiligingSecurity Netwerk eindpuntNetwork endpoint Heeft de service een openbaar eind punt dat toegankelijk is buiten een virtueel netwerk?Does the service have a public endpoint that is accessible outside of a virtual network?
Ondersteunt het virtuele netwerk service-eind punten?Does it support virtual network service endpoints?
Kunnen Azure-Services rechtstreeks met het service-eind punt communiceren?Can Azure services interact directly with the service endpoint?
Ondersteunt het Azure private link-eind punten?Does it support Azure Private Link endpoints?
Kan het worden geïmplementeerd in een virtueel netwerk?Can it be deployed within a virtual network?
Preventie van gegevensexfiltratieData exfiltration prevention Heeft de PaaS-service een afzonderlijke Border Gateway Protocol-Community in azure ExpressRoute micro soft-peering?Does the PaaS service have a separate border gateway protocol community in Azure ExpressRoute Microsoft peering? Maakt ExpressRoute een route filter beschikbaar voor de service?Does ExpressRoute expose a route filter for the service?
Ondersteunt de service de eind punten van persoonlijke koppelingen?Does the service support Private Link endpoints?
Netwerk verkeer afdwingen voor beheer-en gegevensvlak bewerkingenEnforce network traffic flow for management and data plane operations Is het mogelijk om verkeer te controleren of de service af te sluiten?Is it possible to inspect traffic entering/exiting the service? Kan verkeer geforceerd tunnelled met door de gebruiker gedefinieerde route ring?Can traffic be force-tunnelled with user-defined routing?
Gebruiken beheer bewerkingen Azure gedeelde open bare IP-bereiken?Do management operations use Azure shared public IP ranges?
Is beheer verkeer gericht via een link-local eind punt dat op de host wordt weer gegeven?Is management traffic directed via a link-local endpoint exposed on the host?
Gegevens versleuteling op restData encryption at-rest Wordt versleuteling standaard toegepast?Is encryption applied by default?
Kan versleuteling worden uitgeschakeld?Can encryption be disabled?
Wordt versleuteling uitgevoerd met door micro soft beheerde sleutels of door de klant beheerde sleutels?Is encryption performed with Microsoft-managed keys or customer-managed keys?
Gegevens versleuteling in transitData encryption in-transit Is verkeer naar de service versleuteld op protocol niveau (Secure Sockets Layer/trans port Layer Security)?Is traffic to the service encrypted at a protocol level (secure sockets layer/transport layer security)?
Zijn er HTTP-eind punten en kunnen ze worden uitgeschakeld?Are there any HTTP endpoints, and can they be disabled?
Is onderliggende service communicatie ook versleuteld?Is underlying service communication also encrypted?
Wordt versleuteling uitgevoerd met door micro soft beheerde sleutels of door de klant beheerde sleutels?Is encryption performed with Microsoft-managed keys or customer-managed keys? (Wordt uw eigen versleuteling ondersteund?)(Is bring your own encryption supported?)
Software-implementatieSoftware deployment Kan toepassing software of producten van derden worden geïmplementeerd in de service?Can application software or third-party products be deployed to the service?
Hoe wordt software-implementatie uitgevoerd en beheerd?How is software deployment performed and managed?
Kan beleid worden afgedwongen om de bron-of code-integriteit te controleren?Can policies be enforced to control source or code integrity?
Als software kan worden geïmplementeerd, kan de functie voor antimalware, het beveiligings risico en hulpprogram ma's voor beveiligings controle worden gebruikt?If software is deployable, can antimalware capability, vulnerability management, and security monitoring tools be used?
Biedt de service systeem eigen mogelijkheden, zoals met de Azure Kubernetes-service?Does the service provide such capabilities natively, such as with Azure Kubernetes Service?
Identiteits- en toegangsbeheerIdentity and access management Verificatie en toegangs beheerAuthentication and access control Bevinden alle besturings vlak bewerkingen van Azure AD gebruik.Are all control plane operations governed by Azure AD? Is er een genest besturings vlak, zoals met de Azure Kubernetes-service?Is there a nested control plane, such as with Azure Kubernetes Service?
Welke methoden bestaan er om toegang te bieden tot het gegevens vlak?What methods exist to provide access to the data plane?
Is het gegevens vlak geïntegreerd met Azure AD?Does the data plane integrate with Azure AD?
Maakt Azure-naar-Azure-verificatie (service-naar-Service) gebruik van een MSI/Service-Principal?Does Azure-to-Azure (service-to-service) authentication use an MSI/service principal?
Is Azure-to-IaaS-verificatie (service-naar-virtueel-netwerk) via Azure AD?Is Azure-to-IaaS (service-to-virtual-network) authentication via Azure AD?
Welke toepasselijke sleutels of gedeelde toegangs handtekeningen worden beheerd?How are any applicable keys or shared access signatures managed?
Hoe kan de toegang worden ingetrokken?How can access be revoked?
Schei ding van takenSegregation of duties Scheidt de Service beheer vlak-en gegevenslaag bewerkingen in azure AD?Does the service separate control plane and data plane operations within Azure AD?
Multi-factor Authentication en voorwaardelijke toegangMulti-factor authentication and conditional access Wordt multi-factor Authentication afgedwongen voor de interactie tussen de gebruiker en de service?Is multi-factor authentication enforced for user to service interactions?
BeheerGovernance Gegevens exporteren en importerenData export and import Kunt u met Service veilig en versleutelde gegevens importeren en exporteren?Does service allow you to import and export data securely and encrypted?
Privacy en gebruik van gegevensData privacy and usage Kunnen micro soft-technici toegang krijgen tot de gegevens?Can Microsoft engineers access the data?
Is er Microsoft Ondersteuning interactie met de service gecontroleerd?Is any Microsoft Support interaction with the service audited?
GegevenslocatieData residency Bevinden de gegevens zich in de service-implementatie regio?Is data contained to the service deployment region?
BewerkingenOperations BewakingMonitoring Is de service geïntegreerd met Azure Monitor?Does the service integrate with Azure Monitor?
Back-upbeheerBackup management Van welke werk belasting gegevens moet een back-up worden gemaakt?Which workload data need to be backed up?
Hoe worden back-ups vastgelegd?How are backups captured?
Hoe vaak kunnen back-ups worden gemaakt?How frequently can backups be taken?
Hoe lang kunnen back-ups worden bewaard voor?How long can backups be retained for?
Zijn back-ups versleuteld?Are backups encrypted?
Wordt de back-upversleuteling uitgevoerd met door micro soft beheerde sleutels of door de klant beheerde sleutels?Is backup encryption performed with Microsoft-managed keys or customer-managed keys?
Herstel na noodgevalDisaster recovery Hoe kan de service worden gebruikt op een regionale, redundante manier?How can the service be used in a regional redundant fashion?
Wat zijn de beoogde herstel tijd en Recovery Point Objective?What is the attainable recovery time objective and recovery point objective?
SKUSKU Welke Sku's zijn er beschikbaar?What SKUs are available? En hoe verschillen ze?And how do they differ?
Zijn er functies met betrekking tot de beveiliging voor Premium SKU?Are there any features related to security for Premium SKU?
CapaciteitsbeheerCapacity management Hoe wordt de capaciteit bewaakt?How is capacity monitored?
Wat is de horizontale schaal eenheid?What is the unit of horizontal scale?
Patch-en update beheerPatch and update management Is de service actief bijwerken of worden updates automatisch uitgevoerd?Does the service require active updating or do updates happen automatically?
Hoe vaak worden updates toegepast?How frequently are updates applied? Kunnen ze automatisch worden geautomatiseerd?Can they be automated?
ControlerenAudit Zijn geneste besturings vlak bewerkingen vastgelegd (bijvoorbeeld Azure Kubernetes service of Azure Databricks)?Are nested control plane operations captured (for example, Azure Kubernetes Service or Azure Databricks)?
Worden activiteiten voor Key Data-vlak vastgelegd?Are key data plane activities recorded?
ConfiguratiebeheerConfiguration management Ondersteunt het labels en bieden ze een put schema voor alle resources?Does it support tags and provide a put schema for all resources?
Naleving van Azure-serviceAzure service compliance Attestation-service, certificering en externe auditsService attestation, certification, and external audits Is de service PCI/ISO/SOC-compatibel?Is the service PCI/ISO/SOC compliant?
Beschikbaarheid van de serviceService availability Is de service een persoonlijke preview, een open bare preview of algemeen verkrijgbaar?Is the service a private preview, a public preview, or generally available?
In welke regio's is de service beschikbaar?In what regions is the service available?
Wat is het implementatie bereik van de service?What is the deployment scope of the service? Is het een regionale of wereld wijde service?Is it a regional or global service?
Service Level Agreements (Sla's)Service-level agreements (SLAs) Wat is de SLA voor de beschik baarheid van de service?What is the SLA for service availability?
Wat van toepassing is, wat is de SLA voor prestaties?If applicable, what is the SLA for performance?