Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Data Box

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Azure Data Box. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Azure Data Box.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi Azure Data Box, a te, dla których zalecane są wskazówki globalne, zostały wykluczone. Aby dowiedzieć się, jak usługa Azure Data Box całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Data Box.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: usługa Azure Data Box nie obsługuje wdrażania bezpośrednio w sieci wirtualnej. Nie można zastosować niektórych funkcji sieciowych z zasobami oferty, takimi jak:

  • Sieciowe grupy zabezpieczeń
  • Tabele tras
  • Inne urządzenia zależne od sieci, takie jak Azure Firewall

Domyślnie urządzenie Data Box używa protokołu TLS 1.2. Jeśli którykolwiek z systemów nie włączył protokołu TLS 1.2, usługa Data Box umożliwia włączenie protokołu TLS 1.1/1.0 za pośrednictwem lokalnego interfejsu użytkownika.

Konta magazynu z sieciami wirtualnymi są obsługiwane. Czy chcesz zezwolić usłudze Data Box na pracę z zabezpieczonymi kontami magazynu? Następnie włącz zaufane usługi w ustawieniach zapory sieci konta magazynu.

Odpowiedzialność: Klient

NS-7: Bezpieczna usługa nazw domen (DNS)

Wskazówki: postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń DNS. Te rozwiązania zmniejszają ryzyko typowych ataków, takich jak:

  • Zwisanie DNS
  • Ataki wzmacniania DNS
  • Zatrucie dns i fałszowanie

Jeśli używasz usługi Azure DNS jako autorytatywnej usługi DNS, upewnij się, że strefy i rekordy DNS są chronione przed przypadkową lub złośliwą modyfikacją. Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure i blokad zasobów.

Urządzenie Data Box zaleca korzystanie z własnych certyfikatów. Jeśli zdecydujesz się używać domyślnych certyfikatów generowanych przez urządzenie, musisz postępować zgodnie z wytycznymi opisanymi w tym dokumencie.

Dodaj odwołanie do konfiguracji DNS, którymi klienci mogą zarządzać.

Odpowiedzialność: Klient

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: usługa Data Box używa uwierzytelniania lokalnego dla:

  • Kontrolowanie dostępu urządzenia za pośrednictwem klucza dostępu odblokowywania urządzenia.

  • Poświadczenia protokołu SMB służące do kopiowania danych do i z urządzenia.

  • Klucze konta usługi Azure Storage w celu uzyskania dostępu do urządzenia Data Box za pośrednictwem interfejsów API REST.

  • Konfiguracja adresu IP na potrzeby dostępu do systemu plików NFS.

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówki: usługa Azure Data Box zaleca użycie usługi Azure Active Directory (Azure AD) do utworzenia jednostki usługi z ograniczonymi uprawnieniami na poziomie zasobu. Skonfiguruj jednostki usługi przy użyciu poświadczeń certyfikatu i wróć do wpisów tajnych klienta. W obu przypadkach można użyć usługi Azure Key Vault z tożsamościami zarządzanymi przez platformę Azure, więc środowisko uruchomieniowe (takie jak funkcja platformy Azure) może pobrać poświadczenia z magazynu kluczy.

Urządzenie Data Box umożliwia używanie własnych kluczy do szyfrowania. Umożliwia również używanie własnych haseł dla urządzenia i udziałów.

Odpowiedzialność: Współużytkowane

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: usługa Azure Data Box używa Azure AD do zapewnienia zarządzania tożsamościami i dostępem do:

  • Zasoby platformy Azure
  • Aplikacje w chmurze
  • Aplikacje lokalne

To zarządzanie obejmuje:

  • Tożsamości przedsiębiorstwa, takie jak pracownicy.
  • Tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy.

Dzięki temu zarządzaniu tożsamościami i dostępem logowanie jednokrotne (SSO) może zarządzać danymi i zasobami organizacji oraz zabezpieczać dostęp do ich zasobów. Dostęp dotyczy zarówno środowiska lokalnego, jak i chmury. Połącz wszystkich użytkowników, aplikacje i urządzenia z Azure AD. Azure AD oferuje bezproblemowy, bezpieczny dostęp oraz większą widoczność i kontrolę.

Aby utworzyć zasób usługi Data Box, usługa Data Box używa Azure AD do uwierzytelniania subskrypcji.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-1: Ochrona i ograniczanie użytkowników z wysokim poziomem uprawnień

Wskazówki: domyślnie nie ma wysoce uprzywilejowanych użytkowników. W rzadkich przypadkach może być konieczne otwarcie sesji pomocy technicznej (z podwyższonym poziomem uprawnień). Ta sesja pomocy technicznej wymaga koordynacji z personelem pomocy technicznej firmy Microsoft.

Klienci nie będą musieli używać Azure AD wysoce uprzywilejowanych kont, takich jak konta administratora na poziomie lokalnym dla urządzenia Data Box i zarządzać nimi.

Odpowiedzialność: Współużytkowane

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: aby utworzyć zasób usługi Data Box i zarządzać nim, klient musi zalogować się przy użyciu subskrypcji opartej na Azure AD.

Możesz użyć tych wbudowanych ról:

  • Czytnik urządzenia Data Box. Ta rola ma dostęp tylko do odczytu do zamówień, zgodnie z definicją w zakresie. Rola może wyświetlać tylko szczegóły zamówienia. Nie może uzyskać dostępu do innych szczegółów związanych z kontami magazynu. Nie może również edytować szczegółów zamówienia, takich jak adres.

  • Współautor urządzenia Data Box. Jeśli klient ma już dostęp do zapisu na koncie magazynu, ta rola może utworzyć zamówienie transferu danych na to konto. Jeśli klient nie ma dostępu do konta magazynu, nie może utworzyć zamówienia urządzenia Data Box w celu skopiowania danych na konto. Ta rola nie definiuje żadnych uprawnień związanych z kontem magazynu. Nie udziela dostępu do kont magazynu.

  • Tworzenie i zarządzanie zasobami urządzenia Data Box

  • Wbudowane role RBAC dla urządzenia Data Box

Odpowiedzialność: Współużytkowane

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: usługa Azure Data Box integruje się z kontrolą RBAC platformy Azure w celu zarządzania zasobami.

Możesz kontrolować, kto może uzyskać dostęp do zamówienia urządzenia Data Box po jego utworzeniu. Aby kontrolować dostęp do zamówienia urządzenia Data Box, możesz skonfigurować role platformy Azure w różnych zakresach.

Dwie wbudowane role, które można zdefiniować dla usługi Azure Data Box, to:

  • Czytnik urządzenia Data Box. Ta rola ma dostęp tylko do odczytu do zamówień, zgodnie z definicją w zakresie. Rola może wyświetlać tylko szczegóły zamówienia. Nie może uzyskać dostępu do innych szczegółów związanych z kontami magazynu. Nie może też edytować szczegółów zamówienia, takich jak adres.

  • Współautor urządzenia Data Box. Jeśli klient ma już dostęp do zapisu na koncie magazynu, ta rola może utworzyć zamówienie transferu danych na to konto. Jeśli klient nie ma dostępu do konta magazynu, nie może utworzyć zamówienia urządzenia Data Box w celu skopiowania danych na konto. Ta rola nie definiuje żadnych uprawnień związanych z kontem magazynu. Nie udziela również dostępu do kont magazynu.

  • Wbudowane role RBAC dla zasobu usługi Data Box

Odpowiedzialność: Współużytkowane

PA-8: Wybierz proces zatwierdzania dla pomocy technicznej firmy Microsoft

Wskazówki: W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych klientów, usługa Azure Data Box obsługuje skrytkę klienta. Skrytka klienta udostępnia interfejs umożliwiający przeglądanie, a następnie zatwierdzanie lub odrzucanie żądań dostępu do danych klientów.

Odpowiedzialność: Współużytkowane

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-2: Ochrona poufnych danych

Wskazówki: Ochrona poufnych danych przez ograniczenie dostępu przy użyciu:

  • Kontrola dostępu oparta na rolach platformy Azure.
  • Kontrola dostępu oparta na sieci.
  • Określone kontrolki w usługach platformy Azure (na przykład szyfrowanie).

Aby zapewnić spójną kontrolę dostępu, dostosuj wszystkie typy kontroli dostępu do strategii segmentacji przedsiębiorstwa. Poinformuj strategię segmentacji przedsiębiorstwa o lokalizacji poufnych lub krytycznych dla działania firmy, danych i systemów.

W przypadku podstawowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą. Chroni przed utratą i ekspozycją danych klientów. Aby upewnić się, że dane klientów na platformie Azure pozostają bezpieczne, firma Microsoft używa niektórych domyślnych mechanizmów kontroli i możliwości ochrony danych.

Urządzenie Data Box szyfruje wszystkie dane magazynowane i wszystkie dane przesyłane.

Odpowiedzialność: Współużytkowane

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: urządzenie Data Box obsługuje szyfrowanie SMB. System plików NFS jest również obsługiwany, ale klienci muszą wstępnie szyfrować swoje dane podczas korzystania z tego protokołu.

Aby uzupełnić mechanizmy kontroli dostępu, należy chronić dane przesyłane przed atakami "poza pasmem" (takimi jak przechwytywanie ruchu) przy użyciu szyfrowania. Ta akcja gwarantuje, że osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Usługa Azure Data Box obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu TLS w wersji 1.2 lub nowszej.

Chociaż ta funkcja jest opcjonalna dla ruchu w sieciach prywatnych, ma kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że klienci łączący się z zasobami platformy Azure mogą negocjować protokół TLS w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Wyłącz słabe szyfry i przestarzałe wersje następujących protokołów:

  • Protokół SSL
  • TLS
  • Protokół SSH

Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.

Odpowiedzialność: Współużytkowane

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówki: Aby uzupełnić mechanizmy kontroli dostępu, usługa Azure Data Box szyfruje dane magazynowane w celu ochrony przed atakami "poza pasmem" (takimi jak uzyskiwanie dostępu do bazowego magazynu), które korzystają z szyfrowania. Ta akcja pomaga zapewnić, że osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Platforma Azure domyślnie zapewnia szyfrowanie danych magazynowanych. W przypadku wysoce poufnych danych można zaimplementować dodatkowe szyfrowanie magazynowane na wszystkich zasobach platformy Azure, jeśli są dostępne. Platforma Azure domyślnie zarządza kluczami szyfrowania. Umożliwia również zarządzanie własnymi kluczami (kluczami zarządzanymi przez klienta) dla niektórych usług platformy Azure w celu spełnienia wymagań prawnych.

Odpowiedzialność: Współużytkowane

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówki: udzielanie uprawnień czytelnika zabezpieczeń zespołom ds. zabezpieczeń w dzierżawie i subskrypcjach platformy Azure. Następnie zespoły ds. zabezpieczeń mogą monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

Na podstawie struktury obowiązków zespołu ds. zabezpieczeń centralny zespół ds. zabezpieczeń lub lokalny zespół może być odpowiedzialny za monitorowanie zagrożeń bezpieczeństwa. Zawsze agreguj szczegółowe informacje o zabezpieczeniach i zagrożenia centralnie w organizacji.

Uprawnienia czytelnika zabezpieczeń można stosować szeroko do całej dzierżawy (głównej grupy zarządzania). Możesz też ograniczyć te uprawnienia do grup zarządzania lub określonych subskrypcji.

Uwaga: aby uzyskać wgląd w obciążenia i usługi, mogą być wymagane dodatkowe uprawnienia.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówki: upewnij się, że zespoły ds. zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów na platformie Azure, na przykład azure Data Box. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby ocenić potencjalne narażenie organizacji na pojawiające się zagrożenia. Te zespoły potrzebują również spisu jako danych wejściowych do ciągłych ulepszeń zabezpieczeń.

Utwórz grupę Azure AD zawierającą autoryzowany zespół ds. zabezpieczeń organizacji. Następnie przypisz grupie dostęp do odczytu do wszystkich zasobów usługi Azure Data Box. Ten proces można uprościć w ramach pojedynczego przypisania roli wysokiego poziomu w ramach subskrypcji.

Usługa Azure Data Box nie używa tagów. Klienci nie mogą stosować ani używać tagów dla metadanych zasobów w celu logicznego organizowania ich w taksonomii.

Korzystając ze spisu maszyn wirtualnych platformy Azure, zautomatyzuj zbieranie informacji o oprogramowaniu na Virtual Machines. Azure Portal udostępnia następujące pola informacji:

  • Nazwa oprogramowania
  • Wersja
  • Publisher
  • Czas odświeżania

Aby uzyskać dostęp do daty instalacji i innych informacji, włącz diagnostykę na poziomie gościa. Następnie przełącz dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

Usługa Azure Data Box nie zezwala na uruchamianie aplikacji ani instalowanie oprogramowania w jej zasobach.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: Korzystanie z Azure Policy, przeprowadzanie inspekcji i ograniczanie usług, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań o zasoby i odnajdywanie ich w ramach ich subskrypcji. Ponadto usługa Azure Monitor umożliwia tworzenie reguł wyzwalających alerty po wykryciu niezatwierdzonej usługi.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówka: usługa Azure Data Box tworzy dzienniki zasobów dla klientów, których mogą używać do wykrywania zagrożeń.

Usługa Azure Data Box nie generuje dzienników, których można użyć do wykrywania zagrożeń. Tych dzienników nie można przekazać do narzędzia SIEM do monitorowania i zgłaszania alertów.

Odpowiedzialność: Współużytkowane

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówki: Azure AD udostępnia następujące dzienniki użytkowników, które można wyświetlić w Azure AD raportowania. W przypadku bardziej zaawansowanych przypadków użycia monitorowania i analizy można je zintegrować z usługami Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM/monitoring.

  • Logowania. Raport logowania zawiera informacje o użyciu zarządzanych aplikacji i działań związanych z logowaniem użytkowników.

  • Dzienniki inspekcji. Dzienniki inspekcji zapewniają możliwość śledzenia wszystkich zmian wprowadzonych przez różne funkcje w Azure AD. Przykłady dzienników inspekcji obejmują zmiany wprowadzone w dowolnych zasobach w Azure AD, takie jak dodawanie lub usuwanie:

    • Użytkownicy
    • Apps
    • Grupy
    • Role
    • Zasady
  • Ryzykowne logowania. Ryzykowne logowanie wskazuje próbę logowania, która mogła zostać wykonana przez osobę, która nie jest uprawnionym właścicielem konta użytkownika.

  • Użytkownicy oflagowani w związku z ryzykiem. Ryzykowny użytkownik wskazuje konto użytkownika, które mogło zostać naruszone.

Usługa Microsoft Defender dla Chmury może również wyzwalać alerty dotyczące niektórych podejrzanych działań. Te działania mogą obejmować nadmierną liczbę nieudanych prób uwierzytelnienia lub przestarzałych kont w subskrypcji. Oprócz podstawowego monitorowania higieny zabezpieczeń moduł ochrona przed zagrożeniami w usłudze Microsoft Defender for Cloud może zbierać bardziej szczegółowe alerty zabezpieczeń z:

  • Poszczególne zasoby obliczeniowe platformy Azure (maszyny wirtualne, kontenery i usługa App Service).
  • Zasoby danych (baza danych SQL i magazyn).
  • Warstwy usług platformy Azure.

Dzięki tej możliwości masz wgląd w anomalie konta wewnątrz poszczególnych zasobów.

Odpowiedzialność: Klient

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówki: usługa Azure Data Box nie jest przeznaczona do wdrożenia w sieciach wirtualnych.

Nie można użyć sieciowej grupy zabezpieczeń do wymuszania ani przekazywania ruchu do i z zasobów usługi Azure Data Box. Z tego powodu nie można skonfigurować rejestrowania przepływu sieciowej grupy zabezpieczeń dla urządzenia Azure Data Box.

Usługa Azure Data Box rejestruje cały ruch sieciowy, który przetwarza na potrzeby dostępu klientów.

Usługa Azure Data Box nie umożliwia konfigurowania ani uwidaczniania rejestrowania DNS klientowi.

Odpowiedzialność: Współużytkowane

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówka: Dzienniki aktywności zawierają wszystkie operacje zapisu (PUT, POST i DELETE) dla zasobów usługi Azure Data Box. Te dzienniki są dostępne automatycznie, ale nie zawierają operacji odczytu (GET). Dzienniki aktywności umożliwiają znalezienie błędu podczas rozwiązywania problemów. Możesz też użyć tych dzienników, aby monitorować sposób modyfikowania zasobu przez użytkownika w organizacji.

Usługa Data Box generuje następujące dzienniki zasobów:

  • Kopiowanie dzienników
  • Dzienniki inspekcji
  • Pliki BOM w kolejności importowania
  • Pełne dzienniki w kolejności eksportowania

Usługa Azure Data Box tworzy również dzienniki inspekcji zabezpieczeń dla kont administratorów lokalnych.

Odpowiedzialność: Współużytkowane

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówka: usługa Data Box używa domyślnego serwera Microsoft NTP. Połącz usługę Azure Data Box z siecią, która może uzyskać dostęp do domyślnego serwera NTP. W przeciwnym razie czas urządzenia Azure Data Box może dryfować, jeśli zostanie rozłączony.

Odpowiedzialność: Współużytkowane

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-1: Ustanów bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: usługa Azure Data Box nie obsługuje określonych zasad w usłudze Microsoft Defender for Cloud.

Możesz skonfigurować zasady platformy Azure, aby włączyć podwójne szyfrowanie dla urządzenia Azure Data Box. Możesz też złożyć zamówienie dla urządzenia Data Box, żądając włączenia podwójnego szyfrowania danych magazynowanych na urządzeniu.

Odpowiedzialność: Klient

PV-2: Utrzymaj bezpieczne konfiguracje dla usług platformy Azure

Wskazówka: urządzenie Data Box konfiguruje i blokuje wszystkie ustawienia zabezpieczeń urządzenia przez cały okres istnienia zamówienia.

Odpowiedzialność: Microsoft

PV-6: Wykonywanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: Nie dotyczy; Usługa Azure Data Box nie obsługuje żadnych ocen luk w zabezpieczeniach.

Firma Microsoft wykonuje wewnętrzne skanowanie luk w zabezpieczeniach na urządzeniu Azure Data Box.

Odpowiedzialność: Microsoft

SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania

Wskazówki: firma Microsoft zarządza wszystkimi aktualizacjami oprogramowania innych firm.

Odpowiedzialność: Microsoft

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówki: W razie potrzeby przeprowadź testy penetracyjne lub działania zespołu czerwonego na zasobach platformy Azure. Upewnij się, że korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń.

Aby upewnić się, że testy penetracyjne nie są niezgodne z zasadami firmy Microsoft, postępuj zgodnie z regułami testowania penetracyjnego usługi Microsoft Cloud Engagement. Użyj strategii firmy Microsoft i wykonania testów penetracyjnych red teaming i na żywo witryn zarządzanych przez firmę Microsoft:

  • Infrastruktura chmury
  • Usługi
  • Aplikacje

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

Zabezpieczenia punktu końcowego

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia punktu końcowego.

ES-2: Korzystanie z zarządzanego centralnie nowoczesnego oprogramowania chroniącego przed złośliwym kodem

Wskazówki: usługa Azure Data Box ma włączoną Windows Defender.

Odpowiedzialność: Microsoft

ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym kodem są aktualizowane

Wskazówki: firma Microsoft włącza Windows Defender i utrzymuje aktualizacje w usłudze Azure Data Box.

Odpowiedzialność: Microsoft

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Okresowo upewnij się, że możesz przywrócić klucze zarządzane przez klienta, których kopia zapasowa została utworzona.

Odpowiedzialność: Klient

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówki: mają środki, aby zapobiec utracie kluczy i odzyskać je. Włącz ochronę usuwania nietrwałego i przeczyszczania w usłudze Azure Key Vault. Ta akcja chroni klucze przed przypadkowym lub złośliwym usunięciem.

Odpowiedzialność: Klient

Następne kroki