Plan bazowy zabezpieczeń platformy Azure dla usługi Azure Machine Learning

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do Microsoft Azure Machine Learning. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Azure Machine Learning.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki , które nie mają zastosowania do usługi Azure Machine Learning, oraz te, dla których zalecane są globalne wskazówki, zostały wykluczone. Aby dowiedzieć się, jak usługa Azure Machine Learning całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Machine Learning.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: podczas wdrażania zasobów usługi Azure Machine Learning utwórz istniejącą sieć wirtualną lub użyj jej. Upewnij się, że wszystkie sieci wirtualne platformy Azure są zgodne z zasadą segmentacji przedsiębiorstwa, która jest zgodna z ryzykiem biznesowym. Izoluj dowolny system, który może powodować wyższe ryzyko dla organizacji w ramach własnej sieci wirtualnej. Zabezpiecz system wystarczająco przy użyciu sieciowej grupy zabezpieczeń lub Azure Firewall.

Odpowiedzialność: Klient

NS-2: Łączenie sieci prywatnych

Wskazówki: Użyj usługi Azure ExpressRoute lub wirtualnej sieci prywatnej platformy Azure (VPN), aby utworzyć połączenia prywatne między centrami danych platformy Azure i infrastrukturą lokalną w środowisku kolokacji.

Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet i oferują większą niezawodność, szybkość i mniejsze opóźnienia niż typowe połączenia internetowe. W przypadku sieci VPN typu punkt-lokacja i lokacja można połączyć urządzenia lokalne lub sieci z siecią wirtualną. Użyj dowolnej kombinacji tych opcji sieci VPN i usługi Azure ExpressRoute.

Aby połączyć co najmniej dwie sieci wirtualne platformy Azure, użyj komunikacji równorzędnej sieci wirtualnych. Ruch między równorzędną sieciami wirtualnymi jest prywatny i pozostaje w sieci szkieletowej platformy Azure.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.MachineLearningServices:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Obszary robocze usługi Azure Machine Learning powinny używać linku prywatnego Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do obszarów roboczych usługi Azure Machine Learning zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Inspekcja, odmowa, wyłączone 1.1.0

NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure

Wskazówki: użyj Azure Private Link, aby włączyć prywatny dostęp do usługi Azure Machine Learning z sieci wirtualnych bez przekraczania Internetu. Dostęp prywatny dodaje szczegółową miarę obrony do uwierzytelniania platformy Azure i zabezpieczeń ruchu.

Usługa Azure Machine Learning nie zapewnia punktu końcowego usługi.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.MachineLearningServices:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Obszary robocze usługi Azure Machine Learning powinny używać linku prywatnego Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do obszarów roboczych usługi Azure Machine Learning zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Inspekcja, odmowa, wyłączone 1.1.0

NS-4: Ochrona aplikacji i usług przed atakami w sieci zewnętrznej

Wskazówki: ochrona zasobów usługi Azure Machine Learning przed atakami z sieci zewnętrznych. Ataki mogą obejmować:

  • Ataki typu "rozproszona odmowa usługi" (DDoS)
  • Ataki specyficzne dla aplikacji
  • Niezamówiony i potencjalnie złośliwy ruch internetowy

Użyj Azure Firewall, aby chronić aplikacje i usługi przed potencjalnie złośliwym ruchem z Internetu i innych lokalizacji zewnętrznych. Ochrona zasobów przed atakami DDoS przez włączenie usługi DDoS Protection w warstwie Standardowa w sieciach wirtualnych platformy Azure. Użyj usługi Microsoft Defender for Cloud, aby wykryć błędy związane z konfiguracją zagrożeń w zasobach związanych z siecią.

Korzystanie z funkcji Web Application Firewall (WAF) w usługach Azure Application Gateway, Azure Front Door i Azure Content Delivery Network (CDN). Te możliwości chronią aplikacje uruchamiane w usłudze Azure Machine Learning przed atakami w warstwie aplikacji.

Odpowiedzialność: Klient

NS-6: Uproszczenie reguł zabezpieczeń sieci

Wskazówki: użyj tagów usługi Azure Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci dla zasobów usługi Azure Machine Learning w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określ nazwę tagu usługi, taką jak "azuremachinelearning" w odpowiednim polu źródła reguły lub miejsca docelowego, aby zezwolić na ruch usługi lub go odmówić. Firma Microsoft zarządza prefiksami adresów, które obejmuje tag usługi, i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Uwaga: tag regionalny "azuremachinelearning" nie jest obecnie obsługiwany.

Odpowiedzialność: Klient

NS-7: Bezpieczna usługa nazw domen (DNS)

Wskazówki: Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi konfiguracji DNS dla usługi Azure Machine Learning. Aby uzyskać więcej informacji, zobacz Jak używać obszaru roboczego z niestandardowym serwerem DNS.

Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń DNS, aby ograniczyć ryzyko typowych ataków, takich jak:

  • Zwisanie dns
  • Ataki wzmacniania DNS
  • Zatrucie i fałszowanie DNS

W przypadku korzystania z usługi Azure DNS jako usługi DNS należy chronić strefy i rekordy DNS przed przypadkowymi lub złośliwymi zmianami przy użyciu usługi Azure Role-Based Access Control (RBAC) i blokad zasobów.

Odpowiedzialność: Klient

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: Usługa Azure Machine Learning używa Azure AD jako domyślnej usługi zarządzania tożsamościami i dostępem. Standaryzacja Azure AD w celu zarządzania tożsamościami i dostępem organizacji w programie :

  • Zasoby w chmurze firmy Microsoft. Zasoby obejmują:

    • Witryna Azure Portal

    • Azure Storage

    • Maszyny wirtualne z systemem Linux i Windows na platformie Azure

    • Azure Key Vault

    • Platforma jako usługa (PaaS)

    • Aplikacje typu oprogramowanie jako usługa (SaaS)

  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Zabezpieczanie Azure AD powinno mieć wysoki priorytet w przypadku praktyki zabezpieczeń w chmurze organizacji. Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości, który ułatwia porównanie stanu zabezpieczeń tożsamości z zaleceniami dotyczącymi najlepszych rozwiązań firmy Microsoft. Skorzystaj ze wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań, i ulepszać stan zabezpieczeń.

Uwaga: Azure AD obsługuje tożsamości zewnętrzne, które umożliwiają użytkownikom bez kont Microsoft logowanie się do swoich aplikacji i zasobów.

Odpowiedzialność: Klient

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówka: W przypadku usługi Azure Machine Learning użyj Azure AD, aby utworzyć jednostkę usługi z ograniczonymi uprawnieniami na poziomie zasobu. Konfigurowanie jednostek usługi przy użyciu poświadczeń certyfikatu i powrót do wpisów tajnych klienta.

Możesz użyć usługi Azure Key Vault z tożsamościami zarządzanymi przez platformę Azure, aby środowisko uruchomieniowe, takie jak Azure Functions, mogły uzyskiwać poświadczenia z magazynu kluczy.

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: Usługa Azure Machine Learning używa Azure AD zarządzania tożsamościami i dostępem dla zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Tożsamości obejmują tożsamości przedsiębiorstwa, takie jak pracownicy, i tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy.

Azure AD zapewnia logowanie jednokrotne (SSO) do zarządzania i zabezpieczania dostępu do danych i zasobów w chmurze organizacji.

Połącz wszystkich użytkowników, aplikacje i urządzenia z Azure AD. Azure AD zapewnia bezproblemowy, bezpieczny dostęp oraz większą widoczność i kontrolę.

Odpowiedzialność: Klient

IM-7: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: usługa Azure Machine Learning umożliwia klientom wdrażanie i uruchamianie kodu lub konfiguracji bądź utrwalanie danych, które potencjalnie zawierają tożsamości lub wpisy tajne. Użyj skanera poświadczeń, aby odnaleźć te poświadczenia w kodzie, konfiguracjach lub danych. Skaner poświadczeń zachęca do przenoszenia odnalezionych poświadczeń do bezpiecznych lokalizacji, takich jak azure Key Vault.

W przypadku usługi GitHub możesz użyć natywnej funkcji skanowania wpisów tajnych do identyfikowania poświadczeń lub innych wpisów tajnych w kodzie.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-1: Ochrona i ograniczanie użytkowników z wysokim poziomem uprawnień

Wskazówki: Najważniejsze wbudowane role Azure AD to administrator globalny i administrator ról uprzywilejowanych. Użytkownicy z tymi dwiema rolami mogą delegować role administratora.

  • Administrator globalny lub administrator firmy ma dostęp do wszystkich Azure AD funkcji administracyjnych i usług korzystających z tożsamości Azure AD.

  • Administrator ról uprzywilejowanych może zarządzać przypisaniami ról w usłudze Azure AD i Azure AD Privileged Identity Management (PIM). Ta rola może zarządzać wszystkimi aspektami usługi PIM i jednostek administracyjnych.

Ogranicz liczbę kont lub ról o wysokim poziomie uprawnień i chroń te konta na podwyższonym poziomie. Wysoce uprzywilejowani użytkownicy mogą bezpośrednio lub pośrednio odczytywać i modyfikować wszystkie zasoby platformy Azure.

Możesz włączyć uprzywilejowany dostęp just in time (JIT) do zasobów platformy Azure i Azure AD przy użyciu usługi Azure AD PIM. Dostęp JIT polega na przyznawaniu uprawnień tymczasowych do wykonywania zadań uprzywilejowanych tylko wtedy, gdy użytkownicy ich potrzebują. Usługa PIM może również generować alerty zabezpieczeń dla podejrzanych lub niebezpiecznych działań w organizacji Azure AD.

Usługa Azure Machine Learning zawiera trzy role domyślne po utworzeniu nowego obszaru roboczego. Tworzenie standardowych procedur operacyjnych na potrzeby korzystania z kont właścicieli.

Odpowiedzialność: Klient

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: usługa Azure Machine Learning używa kont Azure AD do zarządzania zasobami. Regularnie przeglądaj konta użytkowników i przypisania dostępu, aby upewnić się, że konta i ich dostęp są prawidłowe. Możesz użyć Azure AD przeglądów dostępu do przeglądania członkostw w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról.

Azure AD raportowania mogą udostępniać dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Możesz również utworzyć przepływy pracy raportu przeglądu dostępu w usłudze Azure AD PIM, aby ułatwić proces przeglądu.

Możesz skonfigurować Azure AD PIM, aby otrzymywać alerty, gdy istnieje zbyt wiele kont administratorów. Usługa PIM może identyfikować konta administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.

Usługa Azure Machine Learning oferuje wbudowane role dla analityków danych i użytkowników usługi środowiska użytkownika.

Uwaga: niektóre usługi platformy Azure obsługują lokalnych użytkowników i role, które nie są zarządzane za pośrednictwem Azure AD. Zarządzaj tymi użytkownikami oddzielnie.

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówki: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla zabezpieczeń poufnych ról, takich jak administratorzy, deweloperzy i operatorzy usług krytycznych. Używaj stacji roboczych użytkowników o wysokim poziomie zabezpieczeń i usługi Azure Bastion do wykonywania zadań administracyjnych.

Użyj Azure AD, usługi Microsoft Defender ATP lub Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych. Możesz centralnie zarządzać zabezpieczonymi stacjami roboczymi, aby wymusić konfigurację zabezpieczeń, która obejmuje:

  • Silne uwierzytelnianie

  • Plany bazowe oprogramowania i sprzętu

  • Ograniczony dostęp logiczny i sieciowy

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

PA-7: Postępuj zgodnie z zasadą najniższych uprawnień wystarczy do administrowania

Wskazówki: usługa Azure Machine Learning integruje się z kontrolą dostępu opartą na rolach platformy Azure w celu zarządzania zasobami. Dzięki kontroli dostępu opartej na rolach można zarządzać dostępem do zasobów platformy Azure za pomocą przypisań ról. Role można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych. Niektóre zasoby mają wstępnie zdefiniowane, wbudowane role. Możesz utworzyć spis lub wykonać zapytania dotyczące tych ról za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell lub Azure Portal.

Ogranicz uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure do wymaganej roli. Ta praktyka uzupełnia podejście typu just in time (JIT) Azure AD PIM. Okresowo przeglądaj role i przypisania.

Użyj wbudowanych ról, aby przydzielić uprawnienia i tworzyć role niestandardowe tylko wtedy, gdy jest to wymagane.

Usługa Azure Machine Learning oferuje wbudowane role dla analityków danych i użytkowników usługi środowiska użytkownika.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

Wskazówki: odnajdywanie, klasyfikowanie i etykietowanie poufnych danych. Zaprojektuj odpowiednie mechanizmy kontroli dla systemów technologicznych organizacji w celu bezpiecznego przechowywania, przetwarzania i przesyłania poufnych informacji.

Użyj usługi Azure Information Protection (AIP) i skojarzonego z nią narzędzia do skanowania w celu uzyskania poufnych informacji w dokumentach pakietu Office. Usługi AIP można używać na platformie Azure, Office 365, lokalnie lub w innych lokalizacjach.

Można użyć Azure SQL Information Protection, aby ułatwić klasyfikowanie i etykietowanie informacji przechowywanych w usłudze Azure SQL Database.

Odpowiedzialność: Klient

DP-2: Ochrona poufnych danych

Wskazówki: Ochrona poufnych danych przez ograniczenie dostępu za pomocą kontroli dostępu opartej na rolach platformy Azure, kontroli dostępu opartej na sieci i określonych mechanizmów kontroli w usługach platformy Azure. Na przykład użyj szyfrowania w języku SQL i innych bazach danych.

Aby zapewnić spójność, dopasuj wszystkie typy kontroli dostępu do strategii segmentacji przedsiębiorstwa. Poinformuj strategię segmentacji przedsiębiorstwa według lokalizacji poufnych lub krytycznych dla działania firmy danych i systemów.

Firma Microsoft traktuje całą zawartość klienta na bazowej platformie zarządzanej przez firmę Microsoft jako poufne. Firma Microsoft chroni przed utratą i ujawnieniem danych klientów. Firma Microsoft ma domyślne mechanizmy kontroli i możliwości ochrony danych, aby zapewnić bezpieczeństwo danych klientów platformy Azure.

Odpowiedzialność: Klient

DP-3: Monitorowanie nieautoryzowanego transferu danych poufnych

Wskazówki: Monitoruj nieautoryzowany transfer danych do lokalizacji poza widocznością i kontrolą przedsiębiorstwa. Monitoruj nietypowe działania, takie jak duże lub nietypowe transfery, które mogą wskazywać na nieautoryzowaną eksfiltrację danych.

Usługa Azure Storage ATP i Azure SQL ATP mogą otrzymywać alerty dotyczące nietypowych transferów informacji, które mogą wskazywać na nieautoryzowane transfery poufnych informacji.

Usługa AIP zapewnia możliwości monitorowania informacji sklasyfikowanych i oznaczonych etykietami.

W razie potrzeby zgodności DLP można użyć opartego na hoście rozwiązania DLP, aby wymusić mechanizmy kontroli wykrywania i zapobiegania eksfiltracji danych oraz zapobiegać ich eksfiltracji.

Odpowiedzialność: Klient

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: Aby uzupełnić mechanizmy kontroli dostępu, należy chronić dane przesyłane przed atakami poza pasmem, takimi jak przechwytywanie ruchu. Użyj szyfrowania, aby upewnić się, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych. Usługa Azure Machine Learning obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu Transport Layer Security (TLS) w wersji 1.2.

To wymaganie jest opcjonalne w przypadku ruchu w sieciach prywatnych, ale ma kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że klienci łączący się z zasobami platformy Azure mogą używać protokołu TLS w wersji 1.2 lub nowszej.

W przypadku zdalnego zarządzania należy użyć protokołu Secure Shell (SSH) dla systemu Linux lub protokołu RDP (Remote Desktop Protocol) i protokołu TLS dla systemu Windows. Nie używaj niezaszyfrowanego protokołu. Wyłącz słabe szyfry i przestarzałe protokoły SSL, TLS i SSH.

Platforma Azure domyślnie szyfruje dane przesyłane między centrami danych platformy Azure.

Odpowiedzialność: Microsoft

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówki: Aby uzupełnić mechanizmy kontroli dostępu, usługa Azure Machine Learning chroni dane magazynowane przed atakami poza pasmem, takimi jak uzyskiwanie dostępu do magazynu bazowego przy użyciu szyfrowania. Szyfrowanie pomaga zagwarantować, że osoby atakujące nie będą mogły łatwo odczytać ani zmodyfikować danych.

Platforma Azure domyślnie zapewnia szyfrowanie danych magazynowanych. W przypadku wysoce poufnych danych można zaimplementować dodatkowe szyfrowanie magazynowane w zasobach platformy Azure, jeśli są dostępne. Platforma Azure domyślnie zarządza kluczami szyfrowania, ale niektóre usługi platformy Azure udostępniają opcje kluczy zarządzanych przez klienta.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.MachineLearningServices:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta Zarządzanie szyfrowaniem w spoczynku danych obszaru roboczego usługi Azure Machine Learning przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na stronie https://aka.ms/azureml-workspaces-cmk. Inspekcja, Odmowa, Wyłączone 1.0.3

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówka: Upewnij się, że udzielono zespołom ds. zabezpieczeń uprawnień Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogli monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

Monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu, w zależności od struktury obowiązków. Zawsze agreguj szczegółowe informacje o zabezpieczeniach i zagrożenia centralnie w organizacji.

Uprawnienia czytelnika zabezpieczeń można stosować szeroko do głównej grupy zarządzania całej dzierżawy lub uprawnienia zakresu do określonych grup zarządzania lub subskrypcji.

Uwaga: Wgląd w obciążenia i usługi może wymagać większej liczby uprawnień.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówki: stosowanie tagów do zasobów platformy Azure, grup zasobów i subskrypcji w celu logicznego organizowania ich w taksonomię. Każdy tag składa się z pary nazw i wartości. Na przykład można zastosować nazwę „Środowisko” i wartość „Produkcyjne” do wszystkich zasobów w środowisku produkcyjnym.

Użyj spisu maszyn wirtualnych platformy Azure, aby zautomatyzować zbieranie informacji o oprogramowaniu na maszynach wirtualnych. Nazwa oprogramowania, wersja, wydawca i czas odświeżania są dostępne w Azure Portal. Aby uzyskać dostęp do dat instalacji i innych informacji, włącz diagnostykę na poziomie gościa i zaimportuj dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

Użyj funkcji Adaptacyjne kontrolki aplikacji usługi Microsoft Defender dla chmury, aby określić typy plików, do których ma zastosowanie reguła.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: użyj Azure Policy, aby przeprowadzić inspekcję i ograniczyć usługi, które użytkownicy mogą aprowizować w danym środowisku. Użyj usługi Azure Resource Graph, aby wykonywać zapytania dotyczące zasobów i odnajdywać je w ramach subskrypcji. Możesz również użyć usługi Azure Monitor do tworzenia reguł wyzwalania alertów po wykryciu niezatwierdzonej usługi.

Odpowiedzialność: Klient

AM-6: Używanie tylko zatwierdzonych aplikacji w zasobach obliczeniowych

Wskazówki: Użyj spisu maszyn wirtualnych platformy Azure, aby zautomatyzować zbieranie informacji o całym oprogramowaniu na maszynach wirtualnych. Nazwa oprogramowania, wersja, wydawca i czas odświeżania są dostępne w Azure Portal. Aby uzyskać dostęp do dat instalacji i innych informacji, włącz diagnostykę na poziomie gościa i przełącz dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówki: użyj wbudowanej funkcji wykrywania zagrożeń w usłudze Microsoft Defender for Cloud. Włącz usługę Microsoft Defender dla zasobów usługi Azure Machine Learning. Usługa Microsoft Defender dla usługi Azure Machine Learning zapewnia dodatkową warstwę analizy zabezpieczeń. Usługa Microsoft Defender wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do zasobów usługi Azure Machine Learning lub wykorzystania ich.

Odpowiedzialność: Klient

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówki: Azure AD udostępnia następujące dzienniki użytkowników. Dzienniki można wyświetlić w Azure AD raportowania. Dzienniki można zintegrować z usługą Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM i monitorowaniem w celu uzyskania bardziej zaawansowanych przypadków użycia monitorowania i analizy.

  • Logowania — informacje o użyciu aplikacji zarządzanej i działaniach logowania użytkowników.

  • Dzienniki inspekcji — możliwość śledzenia za pośrednictwem dzienników dla wszystkich zmian wprowadzonych przez różne funkcje Azure AD. Dzienniki inspekcji obejmują zmiany wprowadzone w dowolnym zasobie w ramach Azure AD. Zmiany obejmują dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.

  • Ryzykowne logowania — wskaźnik prób logowania przez osobę, która może nie być uzasadnionym właścicielem konta użytkownika.

  • Użytkownicy oflagowani pod kątem ryzyka — wskaźnik konta użytkownika, który mógł zostać naruszony.

Usługa Microsoft Defender for Cloud może również otrzymywać alerty o niektórych podejrzanych działaniach, takich jak nadmierna liczba nieudanych prób uwierzytelniania. Przestarzałe konta w subskrypcji mogą również wyzwalać alerty.

Usługa Microsoft Defender for Cloud może również otrzymywać alerty o podejrzanych działaniach, takich jak nadmierna liczba nieudanych prób uwierzytelniania lub przestarzałe konta.

Oprócz podstawowego monitorowania higieny zabezpieczeń moduł ochrona przed zagrożeniami w usłudze Microsoft Defender for Cloud może zbierać bardziej szczegółowe alerty zabezpieczeń:

  • Poszczególne zasoby obliczeniowe platformy Azure, takie jak maszyny wirtualne, kontenery i usługa App Service

  • Zasoby danych, takie jak Azure SQL Database i Azure Storage

  • Warstwy usług platformy Azure

Ta funkcja zapewnia wgląd w anomalie kont w poszczególnych zasobach.

Odpowiedzialność: Klient

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówki: Włączanie i zbieranie dzienników zasobów sieciowej grupy zabezpieczeń, dzienników przepływów sieciowej grupy zabezpieczeń, dzienników Azure Firewall i dzienników Web Application Firewall (WAF) na potrzeby analizy zabezpieczeń. Dzienniki obsługują badania zdarzeń, wyszukiwanie zagrożeń i generowanie alertów zabezpieczeń. Dzienniki przepływu można wysłać do obszaru roboczego usługi Log Analytics usługi Azure Monitor i użyć analizy ruchu w celu zapewnienia szczegółowych informacji.

Pamiętaj, aby zebrać dzienniki zapytań DNS, aby pomóc skorelować inne dane sieciowe. Rozwiązanie rejestrowania DNS innej firmy można zaimplementować z poziomu Azure Marketplace zgodnie z potrzebami organizacji.

Odpowiedzialność: Klient

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówki: dzienniki aktywności są dostępne automatycznie. Dzienniki zawierają wszystkie operacje PUT, POST i DELETE, ale nie GET dla zasobów usługi Azure Machine Learning. Dzienniki aktywności umożliwiają znajdowanie błędów podczas rozwiązywania problemów lub monitorowanie sposobu modyfikowania zasobów przez użytkowników w organizacji.

Włączanie dzienników zasobów platformy Azure dla usługi Azure Machine Learning. Usługi Microsoft Defender for Cloud i Azure Policy można używać do włączania dzienników zasobów i zbierania danych dzienników. Te dzienniki mogą mieć kluczowe znaczenie dla badania zdarzeń zabezpieczeń i wykonywania ćwiczeń kryminalistycznych.

Usługa Azure Machine Learning tworzy również dzienniki inspekcji zabezpieczeń dla kont administratorów lokalnych. Włącz te lokalne dzienniki inspekcji administratora. Skonfiguruj dzienniki, które mają być wysyłane do centralnego obszaru roboczego usługi Log Analytics lub konta magazynu na potrzeby długoterminowego przechowywania i inspekcji.

Odpowiedzialność: Klient

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówki: Scentralizowane rejestrowanie magazynu i analizy w celu włączenia korelacji. Dla każdego źródła dziennika upewnij się, że masz następujące elementy:

  • Przypisany właściciel danych
  • Wskazówki dotyczące dostępu
  • Lokalizacja magazynu
  • Jakich narzędzi używasz do przetwarzania i uzyskiwania dostępu do danych
  • Wymagania dotyczące przechowywania danych

Pamiętaj, aby zintegrować dzienniki aktywności platformy Azure z centralnym rejestrowaniem.

Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia końcowe, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics, aby wykonywać zapytania i wykonywać analizy.

Użyj kont usługi Azure Storage na potrzeby długoterminowego i archiwizacji magazynu.

Włączanie i dołączanie danych do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy. Wiele organizacji używa usługi Microsoft Sentinel do "gorących" danych, których często używają, a usługa Azure Storage do "zimnych" danych, których używają rzadziej.

W przypadku aplikacji uruchamianych w usłudze Azure Machine Learning przekaż wszystkie dzienniki związane z zabezpieczeniami do rozwiązania SIEM w celu scentralizowanego zarządzania.

Odpowiedzialność: Klient

LT-6: Konfigurowanie przechowywania magazynu dzienników

Wskazówki: upewnij się, że wszystkie konta magazynu lub obszary robocze usługi Log Analytics używane do przechowywania dzienników usługi Azure Machine Learning mają ustawione okresy przechowywania dzienników zgodnie z przepisami dotyczącymi zgodności organizacji.

W usłudze Azure Monitor można ustawić okres przechowywania obszaru roboczego usługi Log Analytics zgodnie z przepisami dotyczącymi zgodności organizacji. Użyj kont obszaru roboczego usługi Azure Storage, usługi Azure Data Lake lub usługi Log Analytics na potrzeby długoterminowego i archiwalnego magazynu.

Odpowiedzialność: Klient

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: usługa Azure Machine Learning nie obsługuje konfigurowania własnych źródeł synchronizacji czasu. Usługa Azure Machine Learning korzysta ze źródeł synchronizacji czasu firmy Microsoft, które nie są widoczne dla klientów na potrzeby konfiguracji.

Odpowiedzialność: Microsoft

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-1: Ustanów bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: Usługa Azure Machine Learning obsługuje zasady specyficzne dla usługi, które są dostępne w usłudze Microsoft Defender for Cloud w celu przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Zasady można skonfigurować w usłudze Microsoft Defender for Cloud lub Azure Policy.

Użyj usługi Azure Blueprints, aby zautomatyzować wdrażanie i konfigurację usług i środowisk aplikacji. Pojedyncza definicja strategii może obejmować szablony usługi Azure Resource Manager, kontrolki RBAC i zasady.

Odpowiedzialność: Klient

PV-2: Utrzymaj bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: monitorowanie punktu odniesienia konfiguracji za pomocą usługi Microsoft Defender for Cloud. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację między zasobami obliczeniowymi platformy Azure, w tym maszynami wirtualnymi i kontenerami.

Odpowiedzialność: Klient

PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówki: usługa Azure Machine Learning ma różną obsługę różnych zasobów obliczeniowych, w tym własnych zasobów obliczeniowych. W przypadku zasobów obliczeniowych posiadanych przez organizację użyj zaleceń usługi Microsoft Defender for Cloud, aby zachować konfiguracje zabezpieczeń. Możesz również użyć niestandardowych obrazów systemu operacyjnego lub Azure Automation State Configuration, aby ustawić konfigurację zabezpieczeń systemu operacyjnego wymaganą przez organizację.

Użyj usługi Microsoft Defender for Cloud i Azure Policy, aby ustanowić bezpieczne konfiguracje wszystkich zasobów obliczeniowych, w tym maszyn wirtualnych i kontenerów.

Odpowiedzialność: Klient

PV-4: Utrzymywanie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówki: Korzystanie z usługi Microsoft Defender dla chmury i Azure Policy w celu regularnej oceny i korygowania zagrożeń związanych z konfiguracją zasobów obliczeniowych platformy Azure, w tym maszyn wirtualnych i kontenerów. Możesz również użyć szablonów usługi Azure Resource Manager (ARM), niestandardowych obrazów systemu operacyjnego lub konfiguracji stanu Azure Automation w celu zachowania konfiguracji zabezpieczeń systemu operacyjnego wymaganej przez organizację.

Szablony maszyn wirtualnych firmy Microsoft połączone z Azure Automation State Configuration mogą pomóc spełnić i zachować wymagania dotyczące zabezpieczeń.
Firma Microsoft zarządza i utrzymuje obrazy maszyn wirtualnych, które publikują w Azure Marketplace.

Usługa Microsoft Defender for Cloud może skanować luki w zabezpieczeniach obrazów kontenerów i stale monitorować konfiguracje kontenerów platformy Docker względem testów porównawczych platformy Docker CIS. Aby wyświetlić rekomendacje i rozwiązania problemów, możesz użyć strony Rekomendacje usługi Microsoft Defender dla chmury.

Odpowiedzialność: Klient

PV-5: Bezpieczne przechowywanie niestandardowych obrazów systemów operacyjnych i kontenerów

Wskazówki: usługa Azure Machine Learning umożliwia klientom zarządzanie obrazami kontenerów. Użyj kontroli dostępu opartej na rolach platformy Azure, aby upewnić się, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do obrazów niestandardowych. Usługa Azure Shared Image Gallery umożliwia udostępnianie obrazów różnym użytkownikom, jednostkom usługi lub grupom Azure AD w organizacji. Przechowuj obrazy kontenerów w Azure Container Registry i używaj kontroli dostępu opartej na rolach, aby upewnić się, że tylko autoryzowani użytkownicy mają dostęp.

Odpowiedzialność: Klient

PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: usługa Azure Machine Learning umożliwia wdrażanie usługi za pośrednictwem rejestrów kontenerów w swoim środowisku.

Postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud w celu przeprowadzania ocen luk w zabezpieczeniach na obrazach kontenerów. Usługa Microsoft Defender for Cloud ma wbudowany skaner luk w zabezpieczeniach dla obrazów kontenerów.

Eksportuj wyniki skanowania w spójnych odstępach czasu zgodnie z potrzebami. Porównaj wyniki z poprzednimi skanowaniami, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. Korzystając z zaleceń dotyczących zarządzania lukami w zabezpieczeniach sugerowanych przez usługę Microsoft Defender for Cloud, możesz przestawić się do portalu wybranego rozwiązania, aby wyświetlić dane historyczne skanowania.

Usługa Azure Machine Learning może używać rozwiązania innej firmy do przeprowadzania ocen luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach internetowych. Podczas przeprowadzania skanowania zdalnego nie używaj pojedynczego, bezterminowego konta administracyjnego. Rozważ zaimplementowanie metodologii aprowizacji JIT dla konta skanowania. Ochrona i monitorowanie poświadczeń dla konta skanowania oraz używanie konta tylko do skanowania luk w zabezpieczeniach.

Odpowiedzialność: Klient

SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania

Wskazówki: usługa Azure Machine Learning używa oprogramowania typu open source w ramach usługi Azure Machine Learning.

W przypadku oprogramowania innej firmy należy użyć rozwiązania do zarządzania poprawkami innych firm lub programu System Center Aktualizacje Publisher dla Configuration Manager.

Odpowiedzialność: Klient

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówki: Przeprowadzanie testów penetracyjnych lub działań zespołu czerwonego w zasobach platformy Azure zgodnie z potrzebami i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń.

Postępuj zgodnie z zasadami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Użyj strategii i wykonywania red teamingu firmy Microsoft. Czy testy penetracyjne witryny na żywo są przeprowadzane względem zarządzanej przez firmę Microsoft infrastruktury, usług i aplikacji w chmurze.

Odpowiedzialność: Współużytkowane

Zabezpieczenia punktu końcowego

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia punktu końcowego.

ES-1: Używanie wykrywania i reagowania punktów końcowych (EDR)

Wskazówka: Włączanie funkcji wykrywania i reagowania na punkty końcowe (EDR) dla serwerów i klientów. Integracja z procesami SIEM i operacjami zabezpieczeń.

Zaawansowana ochrona przed zagrożeniami w usłudze Microsoft Defender udostępnia funkcję EDR jako część platformy zabezpieczeń punktu końcowego przedsiębiorstwa, która umożliwia zapobieganie zaawansowanym zagrożeniom, wykrywanie, badanie i reagowanie na nie.

Odpowiedzialność: Klient

ES-2: Korzystanie z zarządzanego centralnie, nowoczesnego oprogramowania chroniącego przed złośliwym kodem

Wskazówki: Chroń usługę Azure Machine Learning i jej zasoby za pomocą zarządzanego centralnie, nowoczesnego oprogramowania chroniącego przed złośliwym kodem. Użyj centralnie zarządzanego rozwiązania do ochrony przed złośliwym kodem punktu końcowego, które może wykonywać skanowanie w czasie rzeczywistym i okresowe.

  • Microsoft Antimalware dla usługi Azure Cloud Services to domyślne rozwiązanie chroniące przed złośliwym kodem dla maszyn wirtualnych z systemem Windows.

  • W przypadku maszyn wirtualnych z systemem Linux użyj rozwiązania chroniącego przed złośliwym kodem innej firmy.

  • Wykrywanie zagrożeń w usłudze Microsoft Defender for Cloud dla usług danych umożliwia wykrywanie złośliwego oprogramowania przekazanego na konta usługi Azure Storage.

  • Automatyczne używanie usługi Microsoft Defender dla Chmury:

    • Identyfikowanie kilku popularnych rozwiązań chroniących przed złośliwym kodem dla maszyn wirtualnych

    • Stan uruchomienia programu Endpoint Protection raportu

    • Zalecenia

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

ES-3: Pamiętaj, aby zaktualizować oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem

Wskazówka: Pamiętaj, aby szybko i spójnie aktualizować podpisy ochrony przed złośliwym kodem.

Postępuj zgodnie z zaleceniami w usłudze Microsoft Defender for Cloud "Compute & Apps", aby upewnić się, że wszystkie maszyny wirtualne i kontenery są aktualne przy użyciu najnowszych podpisów.

W przypadku systemu Windows Microsoft Antimalware automatycznie instaluje domyślnie najnowsze podpisy i aktualizacje aparatu. W przypadku systemu Linux użyj rozwiązania do ochrony przed złośliwym kodem innej firmy.

Odpowiedzialność: Klient

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-1: Upewnij się, że są uruchamiane regularne automatyczne kopie zapasowe

Wskazówka: Upewnij się, że tworzysz kopie zapasowe systemów i danych w celu zachowania ciągłości działania po nieoczekiwanym zdarzeniu. Skorzystaj ze wskazówek dotyczących dowolnego celu czasu odzyskiwania (RTO) i celu punktu odzyskiwania (RPO).

Włącz Azure Backup. Skonfiguruj źródła kopii zapasowych, takie jak maszyny wirtualne platformy Azure, SQL Server, bazy danych HANA lub udziały plików. Skonfiguruj odpowiednią częstotliwość i okres przechowywania.

Aby uzyskać większą nadmiarowość, włącz opcje magazynu geograficznie nadmiarowego, aby replikować dane kopii zapasowej do regionu pomocniczego i odzyskiwać przy użyciu przywracania między regionami.

Odpowiedzialność: Klient

BR-2: Szyfrowanie danych kopii zapasowej

Wskazówki: Upewnij się, że kopie zapasowe są chronione przed atakami. Ochrona kopii zapasowych powinna obejmować szyfrowanie, aby chronić przed utratą poufności.

Lokalna kopia zapasowa przy użyciu Azure Backup zapewnia szyfrowanie danych magazynowanych przy użyciu podanego hasła. Zwykła kopia zapasowa usługi platformy Azure automatycznie szyfruje dane kopii zapasowej przy użyciu kluczy zarządzanych przez platformę Azure. Możesz zaszyfrować kopię zapasową przy użyciu klucza zarządzanego przez klienta. W takim przypadku upewnij się, że ten klucz zarządzany przez klienta w magazynie kluczy również znajduje się w zakresie kopii zapasowej.

Użyj kontroli dostępu opartej na rolach w Azure Backup, usłudze Azure Key Vault i innych zasobach, aby chronić kopie zapasowe i klucze zarządzane przez klienta. Możesz również włączyć zaawansowane funkcje zabezpieczeń, aby wymagać uwierzytelniania wieloskładnikowego przed zmianą lub usunięciem kopii zapasowych.

Odpowiedzialność: Klient

BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówka: Okresowo przeprowadzaj przywracanie danych kopii zapasowych i upewnij się, że można przywrócić klucze zarządzane przez klienta.

Odpowiedzialność: Klient

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówka: Upewnij się, że masz środki, aby zapobiec utracie kluczy i odzyskać je. Włącz usuwanie nietrwałe i przeczyść ochronę w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.

Odpowiedzialność: Klient

Następne kroki