Базовые средства безопасности Azure для Службы пиринга Microsoft Azure

Этот базовый план безопасности применяет рекомендации от Azure Security Benchmark версии 3.0 к службе пиринга Microsoft Azure. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое группируется по элементам управления безопасностью, определенным для Тестирования безопасности Azure и в связанных руководствах, применимых к Службе пиринга Microsoft Azure.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если функция имеет соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Функции , неприменимые к службе пиринга Microsoft Azure, были исключены. Сведения о полном соответствии Службы пиринга Microsoft Azure Тестированию безопасности Azure см. в файле полного сопоставления базовых средств безопасности Службы пиринга Microsoft Azure .

Профиль безопасности

Профиль безопасности содержит общие сведения о поведении службы пиринга Microsoft Azure, что может привести к увеличению соображений безопасности.

Атрибут поведения службы Значение
Категория продуктов Сеть
Клиент может получить доступ к HOST / OS Нет доступа
Службу можно развернуть в виртуальной сети клиента. Неверно
Хранит неактивный контент клиента Неверно

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: Управление удостоверениями.

IM-7: Ограничение доступа к ресурсам на основе условий

Компоненты

Условный доступ для плоскости данных

Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Привилегированный доступ

Дополнительные сведения см. в тесте производительности безопасности Azure: привилегированный доступ.

PA-7. Следуйте принципу администрирования с предоставлением минимальных прав

Компоненты

Azure RBAC для плоскости данных

Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управления доступом к действиям плоскости данных службы. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: Защита данных.

DP-3: шифрование передаваемых конфиденциальных данных

Компоненты

Шифрование данных при передаче

Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как она включена для развертывания по умолчанию.

Справочные материалы. Шифрование данных Azure при передаче

DP-7: безопасное управление сертификатами

Компоненты

Управление сертификатами в Azure Key Vault

Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление ресурсами

Дополнительные сведения см. в статье Azure Security Benchmark: управление активами.

AM-2: использование только утвержденных служб

Компоненты

Поддержка службы "Политика Azure"

Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: Ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Компоненты

Microsoft Defender для службы или предложения продуктов

Описание. Служба предлагает решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

LT-4. Включение ведения журнала для исследования безопасности

Компоненты

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять улучшенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Следующие шаги