Базовый план безопасности Кэш Azure для Redis

Этот базовый план безопасности применяет рекомендации из microsoft cloud security benchmark версии 1.0 для Кэш Azure для Redis. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в тесте производительности облачной безопасности Майкрософт и соответствующем руководстве, применимом к Кэш Azure для Redis.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.

Если функция имеет релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.

Примечание

Функции, неприменимые к Кэш Azure для Redis, были исключены. Чтобы узнать, как Кэш Azure для Redis полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности Кэш Azure для Redis.

Профиль безопасности

Профиль безопасности содержит общие сведения о поведении Кэш Azure для Redis, что может привести к повышению уровня безопасности.

Атрибут поведения службы Значение
Категория продуктов Базы данных
Клиент может получить доступ к HOST или ОС Нет доступа
Служба может быть развернута в виртуальной сети клиента True
Хранит неактивный контент клиента Неверно

Безопасность сети

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.

NS-1: установка границы сегментации сети

Компоненты

Интеграция с виртуальной сетью

Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Эта функция поддерживается только для экземпляра уровня "Премиум" Кэш Azure для Redis.

Руководство по настройке. Разверните службу в виртуальной сети. Назначьте частные IP-адреса ресурсу (если применимо), если нет веской причины для назначения общедоступных IP-адресов напрямую ресурсу.

Справочник. Настройка поддержки виртуальной сети для экземпляра Кэш Azure для Redis уровня "Премиум"

Поддержка групп безопасности сети

Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Эта функция применима только для кэшей, внедренных в виртуальную сеть.

Руководство по конфигурации. Используйте группы безопасности сети (NSG) для ограничения или мониторинга трафика по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Имейте в виду, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.

Справочник. Настройка поддержки виртуальной сети для экземпляра Кэш Azure для Redis уровня "Премиум"

NS-2: защита облачных служб с помощью элементов управления сетью

Компоненты

Описание: возможность фильтрации ip-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Эта функция не поддерживается в кэшах, развернутых в классических виртуальных сетях.

Руководство по настройке. Разверните частные конечные точки для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы создать частную точку доступа для ресурсов.

Справка: Кэш Azure для Redis с Приватный канал Azure

Отключение доступа к общедоступной сети

Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации ACL ip-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Заметки о функциях. Эта функция не поддерживается в кэшах, развернутых в классических виртуальных сетях. Флаг publicNetworkAccess отключен по умолчанию.

Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.

Справка: Кэш Azure для Redis с Приватный канал Azure

Мониторинг в Microsoft Defender для облака.

Встроенные определения политики Azure — Microsoft.Cache

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Кэш Azure для Redis должен использовать приватный канал Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0

Управление удостоверениями

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.

IM-1: Использование централизованной системы удостоверений и проверки подлинности

Компоненты

аутентификация Azure AD требуется для доступа к плоскости данных

Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Методы локальной проверки подлинности для доступа к плоскости данных

Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей. По возможности их следует отключить. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

Справочник. Настройка Кэш Azure для Redis

IM-3: Безопасное и автоматическое управление удостоверениями приложений

Компоненты

управляемые удостоверения.

Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Субъекты-службы

Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

IM-7: Ограничение доступа к ресурсам на основе условий

Компоненты

Условный доступ для плоскости данных

Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

IM-8: ограничение раскрытия учетных данных и секретов

Компоненты

Поддержка интеграции учетных данных и секретов службы и хранилища в Azure Key Vault

Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Привилегированный доступ

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access.

PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора

Компоненты

Локальные учетные записи Администратор

Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

PA-7. Следуйте принципу администрирования с предоставлением минимальных прав

Компоненты

Azure RBAC для плоскости данных

Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям плоскости данных службы. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

PA-8. Определение процесса доступа для поддержки поставщика облачных служб

Компоненты

Защищенное хранилище клиента

Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Защита данных

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Компоненты

Обнаружение и классификация конфиденциальных данных

Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные

Компоненты

Защита от утечки и потери данных

Описание: служба поддерживает решение защиты от потери данных для отслеживания перемещения конфиденциальных данных (в содержимом клиента). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-3: шифрование передаваемых конфиденциальных данных

Компоненты

Данные в транзитном шифровании

Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.

Справочник. Настройка Кэш Azure для Redis

Мониторинг в Microsoft Defender для облака.

Встроенные определения политики Azure — Microsoft.Cache

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0

DP-4: включение шифрования неактивных данных по умолчанию

Компоненты

Шифрование неактивных данных с помощью ключей платформы

Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых корпорацией Майкрософт. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Заметки о функциях. Эта функция не поддерживается в кэшах, развернутых в классических виртуальных сетях.

Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.

DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости

Компоненты

Шифрование неактивных данных с помощью CMK

Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-6: безопасное управление ключами

Компоненты

Управление ключами в Azure Key Vault

Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей, секретов или сертификатов клиентов. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-7: безопасное управление сертификатами

Компоненты

Управление сертификатами в Azure Key Vault

Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление ресурсами

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.

AM-2: использование только утвержденных служб

Компоненты

Поддержка службы "Политика Azure"

Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure эффекты [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.

Справочник. Политика Azure встроенные определения для Кэш Azure для Redis

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Компоненты

Microsoft Defender для услуг и предложений продуктов

Описание. В службе есть специальное решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

LT-4: включение ведения журнала для исследования безопасности

Компоненты

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Включите журналы ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей, или Azure SQL содержит журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа ресурса и конкретной службы Azure.

Справочник. Мониторинг данных Кэш Azure для Redis с помощью параметров диагностики

резервное копирование и восстановление

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Производительность производительности облачной безопасности Майкрософт: резервное копирование и восстановление).

BR-1: обеспечение регулярного автоматического резервного копирования

Компоненты

Azure Backup

Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Возможность резервного копирования в собственном коде службы

Описание. Служба поддерживает собственную возможность резервного копирования (если не используется Azure Backup). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Дальнейшие действия