Базовый план безопасности Azure для Управления API
Этот базовый план безопасности применяет рекомендации из microsoft cloud security benchmark версии 1.0 для Управление API. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в тесте производительности облачной безопасности Майкрософт, и в соответствующем руководстве, применимом к Управление API.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если функция имеет релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Примечание
Функции, неприменимые к Управление API, были исключены. Чтобы узнать, как Управление API полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности Управление API.
Профиль безопасности
Профиль безопасности содержит общие сведения о поведении Управление API с высокой степенью влияния, что может привести к повышению уровня безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | Интернет |
| Клиент может получить доступ к HOST или ОС | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | True |
| Хранит неактивный контент клиента | Неверно |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Разверните Управление API Azure в виртуальная сеть Azure (VNET), чтобы получить доступ к внутренним службам в сети. Портал разработчика и шлюз Управление API можно настроить для доступа из Интернета (внешний) или только в виртуальной сети (внутренней).
- Внешний: шлюз Управления API и портал разработчика доступны из общедоступного Интернета через внешнюю подсистему балансировки нагрузки. Шлюз может обращаться к ресурсам в виртуальной сети.
- Внутренний: шлюз Управления API и портал разработчика доступны только из виртуальной сети через внутреннюю подсистему балансировки нагрузки. Шлюз может обращаться к ресурсам в виртуальной сети.
Справка. Использование виртуальной сети с Azure Управление API
Поддержка групп безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по конфигурации. Разверните группы безопасности сети (NSG) в Управление API подсетях, чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Имейте в виду, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.
Внимание! При настройке группы безопасности сети в подсети Управления API необходимо открыть ряд портов. Если какой-либо из этих портов недоступен, служба управления API может не работать должным образом и даже стать недоступной.
Примечание. Настройка правил NSG для Управление API
Справочник поконфигурации виртуальной сети: Управление API
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Приватный канал Azure
Описание: возможность фильтрации ip-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. В тех случаях, когда не удается развернуть экземпляры Управление API в виртуальной сети, следует развернуть частную конечную точку, чтобы установить частную точку доступа для этих ресурсов.
Примечание. Чтобы включить частные конечные точки, экземпляр Управление API еще нельзя настроить с помощью внешней или внутренней виртуальной сети. Подключение к частной конечной точке поддерживает только входящий трафик к экземпляру Управления API.
Справочник. Частное подключение к Управление API с помощью частной конечной точки
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации ACL ip-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Отключите доступ к общедоступной сети с помощью правила фильтрации ACL IP-адресов в группах безопасности сети, назначенных подсетям службы, или переключения для доступа к общедоступной сети.
Примечание. Управление API поддерживает развертывания в виртуальной сети, а также блокировку развертываний, не относящихся к сети, с помощью частной конечной точки и отключение доступа к общедоступной сети.
Справка. Отключение доступа к общедоступной сети
Мониторинг в Microsoft Defender для облака.
Политика Azure встроенных определений — Microsoft.ApiManagement:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Audit, Deny, Disabled | 1.0.2 |
NS-6: развертывание брандмауэра веб-приложения
Другие рекомендации для NS-6
Чтобы защитить критически важные веб-api и API HTTP, настройте Управление API в виртуальная сеть (VNET) во внутреннем режиме и настройте Шлюз приложений Azure. Шлюз приложений — это служба PaaS. Он действует как обратный прокси-сервер и обеспечивает балансировку нагрузки уровня 7, маршрутизацию, брандмауэр веб-приложения (WAF) и другие службы. Подробнее.
Объединяя возможности службы управления API, работающей во внутренней виртуальной сети, и интерфейса шлюза приложений, вы можете реализовать следующие сценарии.
- Использование одного ресурса Управления API для предоставления всех интерфейсов API одновременно и для внешних, и для внутренних потребителей.
- Использование одного ресурса Управления API для предоставления подмножества интерфейсов API для внешних потребителей.
- Обеспечение способа включения и отключения доступа из общедоступного Интернета к Управлению API.
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Компоненты
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для Управление API, где это возможно.
- Настройте на Портале разработчика службы "Управление API Azure" проверку подлинности учетных записей разработчиков с помощью Azure AD.
- Настройте экземпляр службы "Управление API Azure" для защиты API с помощью протокола OAuth 2.0 в Azure AD.
Справочник. Защита API в Azure Управление API с помощью авторизации OAuth 2.0 с Помощью Azure Active Directory
Локальные методы проверки подлинности для доступа к плоскости данных
Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Ограничьте использование локальных методов проверки подлинности для доступа к плоскости данных, ведение инвентаризации Управление API учетных записей пользователей и согласование доступа при необходимости. В службе Управления API разработчики — это пользователи интерфейсов API, которые предоставляются с помощью службы Управления API. По умолчанию недавно созданные учетные записи разработчика являются активными и связаны с группой "Разработчики". Учетные записи разработчика, которые находятся в активном состоянии, можно использовать для доступа ко всем интерфейсам API, на которые у них есть подписки.
Кроме того, подписки Azure Управление API являются одним из средств защиты доступа к API и поставляются с парой созданных ключей подписки, которые поддерживают смену.
Вместо использования других методов проверки подлинности, по возможности используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справка. Проверка подлинности с помощью basic
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Компоненты
управляемые удостоверения.
Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте управляемое удостоверение службы, созданное Azure Active Directory (Azure AD), чтобы предоставить экземпляру Управление API простой и безопасный доступ к другим Azure AD защищенным ресурсам, таким как Azure Key Vault, вместо использования субъектов-служб. За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.
Справка. Проверка подлинности с помощью управляемого удостоверения
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по конфигурации. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.
IM-5: Использование единого входа (SSO) для доступа к приложениям
Другие рекомендации по IM-5
Azure Управление API можно настроить для использования Azure Active Directory (Azure AD) в качестве поставщика удостоверений для проверки подлинности пользователей на портале разработчика, чтобы воспользоваться возможностями единого входа, предлагаемыми Azure AD. После настройки новые пользователи портала разработчика могут использовать готовый процесс регистрации, сначала проходя проверку подлинности в Azure AD, а затем завершая процесс регистрации на портале.
Кроме того, для процесса входа и регистрации можно дополнительно настроить делегирование. Делегирование позволяет использовать ваш существующий веб-сайт для обработки входа и регистрации разработчика и подписки на продукты вместо применения встроенной функции на портале разработчика. В результате этого веб-сайт будет владеть пользовательскими данными и проверять эти шаги в соответствии с вашими настройками.
IM-7: Ограничение доступа к ресурсам на основе условий
Компоненты
Условный доступ для плоскости данных
Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-8: ограничение раскрытия учетных данных и секретов
Компоненты
Учетные данные и секреты службы поддерживают интеграцию и хранение в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Настройте интеграцию Управление API с Azure Key Vault. Убедитесь, что секреты для Управление API (именованные значения) хранятся в Key Vault Azure, чтобы к ним можно было безопасно обращаться и обновляться.
Справочник. Использование именованных значений в политиках Управление API Azure с интеграцией Key Vault
Мониторинг в Microsoft Defender для облака.
Политика Azure встроенных определений — Microsoft.ApiManagement:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| В качестве минимальной версии API для Управления API должна быть установлена версия от 01.12.2019 или более поздняя | Чтобы запретить общий доступ к секретам служб пользователям с правами только для чтения, в качестве минимальной версии API должна быть установлена версия 2019-12-01 или более поздняя. | Audit, Deny, Disabled | 1.0.1 |
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access.
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Компоненты
Локальные учетные записи Администратор
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей. По возможности их следует отключить. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Если не требуется для обычных административных операций, отключите или ограничьте любые учетные записи локальных администраторов только для аварийного использования.
Примечание. Управление API позволяет создавать локальную учетную запись пользователя. Вместо создания этих локальных учетных записей включите только проверку подлинности Azure Active Directory (Azure AD) и назначьте разрешения этим учетным записям Azure AD.
Справочник. Управление учетными записями пользователей в Azure Управление API
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
Компоненты
Azure RBAC для плоскости данных
Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям плоскости данных службы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к azure Управление API. Служба "Управление API Azure" использует управление доступом на основе ролей для детализированного контроля доступа к службам "Управление API" и их экземплярам (например, к API и политикам).
Справочник. Использование Role-Based контроль доступа в Azure Управление API
Мониторинг в Microsoft Defender для облака.
Политика Azure встроенных определений — Microsoft.ApiManagement:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление API подписки не должны быть ограничены всеми API | Управление API подписки должны быть ограничены продуктом или отдельным API, а не всеми API, что может привести к чрезмерному раскрытию данных. | Audit, Disabled, Deny | 1.1.0 |
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Компоненты
Защищенное хранилище клиента
Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Руководство по настройке. В сценариях поддержки, в которых корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки, а затем утверждения или отклонения каждого запроса на доступ к данным корпорации Майкрософт.
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Компоненты
Обнаружение и классификация конфиденциальных данных
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Компоненты
Защита от утечки и потери данных
Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Данные в транзитном шифровании
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник. Управление протоколами и шифрами в Azure Управление API
Другие рекомендации для DP-3
Вызовы плоскости управления выполняются через azure Resource Manager по протоколу TLS. Требуется допустимый веб-маркер JSON (JWT). Вызовы плоскости данных можно защищать с помощью TLS и одного из поддерживаемых механизмов проверки подлинности (например, сертификата клиента или JWT).
Мониторинг в Microsoft Defender для облака.
Политика Azure встроенных определений — Microsoft.ApiManagement:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление API API должны использовать только зашифрованные протоколы | Чтобы обеспечить безопасность передаваемых данных, API-интерфейсы должны быть доступны только через зашифрованные протоколы, такие как HTTPS или WSS. Избегайте использования незащищенных протоколов, таких как HTTP или WS. | Audit, Disabled, Deny | 2.0.2 |
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых корпорацией Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Данные клиентов в экземпляре Управление API, включая параметры API, продукты, подписки, пользователей, группы и пользовательское содержимое портала разработчика, хранятся в базе данных SQL Azure и в службе хранилища Azure, которая автоматически шифрует неактивное содержимое.
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
DP-6: безопасное управление ключами
Компоненты
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей, секретов или сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Настройка интеграции Управление API с Azure Key Vault. Убедитесь, что ключи, используемые Управление API, хранятся в Key Vault Azure, чтобы обеспечить безопасный доступ и обновление.
Справочник. Предварительные требования для интеграции хранилища ключей
Мониторинг в Microsoft Defender для облака.
Политика Azure встроенных определений — Microsoft.ApiManagement:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление API именованные значения секрета должны храниться в Azure Key Vault | Именованные значения — это коллекция пар имен и значений в каждой службе Управление API. Значения секретов можно хранить в виде зашифрованного текста в Управление API (пользовательские секреты) или ссылаться на секреты в Azure Key Vault. Чтобы повысить безопасность Управление API и секретов, сослаться на именованные значения секретов из Azure Key Vault. Azure Key Vault поддерживает детализированное управление доступом и политики смены секретов. | Audit, Disabled, Deny | 1.0.2 |
DP-7: безопасное управление сертификатами
Компоненты
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Настройка интеграции Управление API с Azure Key Vault. Убедитесь, что секреты для Управление API (именованные значения) хранятся в Key Vault Azure, чтобы обеспечить безопасный доступ к ним и их обновление.
Используйте azure Key Vault для создания и управления жизненным циклом сертификата, включая создание, импорт, смену, отзыв, хранение и очистку сертификата. Убедитесь, что создание сертификата соответствует определенным стандартам без использования каких-либо небезопасных свойств, таких как недостаточный размер ключа, слишком длительный срок действия, небезопасное шифрование. Настройте автоматическую смену сертификата в azure Key Vault и службе Azure (если поддерживается) на основе определенного расписания или при истечении срока действия сертификата. Если автоматическая смена не поддерживается в приложении, убедитесь, что они по-прежнему сменяются с помощью ручных методов в Azure Key Vault и приложении.
Справочник. Защита внутренних служб с помощью проверки подлинности на основе сертификата клиента в Azure Управление API
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте встроенные Политика Azure для мониторинга и применения безопасной конфигурации для Управление API ресурсов. Используйте Политика Azure псевдонимы в пространстве имен Microsoft.ApiManagement для создания настраиваемых определений Политика Azure, где это необходимо.
Справочник. Политика Azure встроенные определения политик для Azure Управление API
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для услуг и предложений продуктов
Описание. В службе есть специальное решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Defender для API, возможность Microsoft Defender для облака, обеспечивает полную защиту жизненного цикла, обнаружение и покрытие ответов для API, управляемых в Azure Управление API.
Подключение API к Defender для API состоит из двух этапов: включение плана Defender для API для подписки и подключение незащищенных API в экземплярах Управление API.
Просмотрите сводку всех рекомендаций по безопасности и оповещений для подключенных API, выбрав Microsoft Defender для облака в меню экземпляра Управление API.
Справочник.Включение расширенных функций безопасности API с помощью Microsoft Defender для облака
LT-4: включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Включите журналы ресурсов для Управление API, журналы ресурсов предоставляют подробные сведения об операциях и ошибках, важных для аудита и устранения неполадок. К категориям журналов ресурсов для Управление API относятся:
- GatewayLogs
- WebSocketConnectionLogs
Справочник. Журналы ресурсов APIM
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Производительность производительности облачной безопасности Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Azure Backup
Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность резервного копирования в собственном коде службы
Описание. Служба поддерживает собственную возможность резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Дополнительные рекомендации. Используйте возможности резервного копирования и восстановления в службе azure Управление API. При использовании возможностей резервного копирования azure Управление API записывает резервные копии в учетные записи хранения Azure, принадлежащие клиенту. Операции резервного копирования и восстановления предоставляются azure Управление API для выполнения полного резервного копирования и восстановления системы.
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.