Säkerhet, styrning och efterlevnad i företagsskalaEnterprise-scale security, governance, and compliance

Den här artikeln beskriver hur du definierar kryptering och nyckel hantering, planerar för styrning, definierar säkerhetsövervakning och en gransknings princip och planerar för plattforms säkerhet.This article covers defining encryption and key management, planning for governance, defining security monitoring and an audit policy, and planning for platform security. I slutet av artikeln kan du referera till en tabell som beskriver ett ramverk för att utvärdera företagets säkerhets beredskap för Azure-tjänster.At the end of the article, you can refer to a table that describes a framework to assess enterprise security readiness of Azure services.

Definiera kryptering och nyckel hanteringDefine encryption and key management

Kryptering är ett viktigt steg mot att garantera data sekretess, efterlevnad och data placering i Microsoft Azure.Encryption is a vital step toward ensuring data privacy, compliance, and data residency in Microsoft Azure. Det är även en av de viktigaste säkerhetsfrågorna i många företag.It's also one of the most important security concerns of many enterprises. Det här avsnittet beskriver design överväganden och rekommendationer som gäller för kryptering och nyckel hantering.This section covers design considerations and recommendations as they pertain to encryption and key management.

Design överväganden:Design considerations:

  • Prenumerations-och skalnings gränser när de gäller för Azure Key Vault: Key Vault har transaktions gränser för nycklar och hemligheter.Subscription and scale limits as they apply to Azure Key Vault: Key Vault has transaction limits for keys and secrets. Information om hur du begränsar transaktioner per valv under en viss period finns i Azure-gränser.To throttle transactions per vault in a certain period, see Azure limits.

  • Key Vault hanterar en säkerhets gräns eftersom åtkomst behörigheter för nycklar, hemligheter och certifikat finns på valv nivån.Key Vault serves a security boundary because access permissions for keys, secrets, and certificates are at the vault level. Key Vault åtkomst princip tilldelningar beviljar behörigheter separat för nycklar, hemligheter eller certifikat.Key Vault access policy assignments grant permissions separately to keys, secrets, or certificates. De stöder inte detaljerade behörigheter på objekt nivå som en speciell nyckel, hemlig eller certifikat nyckel hantering.They don't support granular, object-level permissions like a specific key, secret, or certificate key management.

  • Du kan isolera programspecifika och arbets belastnings bara hemligheter och delade hemligheter, som lämplig kontroll åtkomst.You can isolate application-specific and workload-specific secrets and shared secrets, as appropriate control access.

  • Du kan optimera Premium SKU: er där maskinvaru-Security-Module-skyddade nycklar krävs.You can optimize Premium SKUs where hardware-security-module-protected keys are required. De underliggande HSM: er (Hardware Security modules) är FIPS 140-2 nivå 2-kompatibla.Underlying hardware security modules (HSMs) are FIPS 140-2 Level 2 compliant. Hantera Azure Dedicated HSM för FIPS 140-2 nivå 3-kompatibilitet genom att beakta de scenarier som stöds.Manage Azure dedicated HSM for FIPS 140-2 Level 3 compliance by considering the supported scenarios.

  • Nyckel rotation och hemligt upphör Ande.Key rotation and secret expiration.

    • Certifikat tillvaratagande och signering genom att använda Key Vault om certifikat.Certificate procurement and signing by using Key Vault about certificates.
    • Aviseringar/meddelanden och automatiserade certifikat förnyelser.Alerting/notifications and automated certificate renewals.
  • Krav på haveri beredskap för nycklar, certifikat och hemligheter.Disaster recovery requirements for keys, certificates, and secrets.

    Funktioner för replikering och redundans för Key Vault tjänster: tillgänglighet och redundans.Key Vault service replication and failover capabilities: availability and redundancy.

  • Övervakning av nyckel, certifikat och hemlig användning.Monitoring key, certificate, and secret usage.

    Identifiera obehörig åtkomst med hjälp av ett nyckel valv eller Azure Monitor Log Analytics arbets yta: övervakning och avisering.Detecting unauthorized access by using a key vault or Azure Monitor Log Analytics workspace: monitoring and alerting.

  • Delegerad Key Vault instansiering och privilegie rad åtkomst: säker åtkomst.Delegated Key Vault instantiation and privileged access: secure access.

  • Krav för att använda Kundhanterade nycklar för interna krypterings metoder som Azure Storage kryptering:Requirements for using customer-managed keys for native encryption mechanisms such as Azure Storage encryption:

    • Kundhanterade nycklar.Customer-managed keys.
    • Kryptering av hela disken för virtuella datorer (VM).Whole-disk encryption for virtual machines (VMs).
    • Kryptering av data i överföring.Data-in-transit encryption.
    • Kryptering av data i vila.Data-at-rest encryption.

Design rekommendationer:Design recommendations:

  • Använd en federerad Azure Key Vault-modell för att undvika transaktions skalnings gränser.Use a federated Azure Key Vault model to avoid transaction scale limits.

  • Etablera Azure Key Vault med principerna för mjuk borttagning och rensning aktiverade för att tillåta kvarhållning skydd för borttagna objekt.Provision Azure Key Vault with the soft delete and purge policies enabled to allow retention protection for deleted objects.

  • Följ en modell med minsta behörighet genom att begränsa auktoriseringen för att permanent ta bort nycklar, hemligheter och certifikat för särskilda anpassade Azure Active Directory-roller (Azure AD).Follow a least privilege model by limiting authorization to permanently delete keys, secrets, and certificates to specialized custom Azure Active Directory (Azure AD) roles.

  • Automatisera certifikat hanterings-och förnyelse processen med offentliga certifikat utfärdare för att under lätta administrationen.Automate the certificate management and renewal process with public certificate authorities to ease administration.

  • Upprätta en automatiserad process för nyckel-och certifikat rotation.Establish an automated process for key and certificate rotation.

  • Aktivera brand väggen och det virtuella nätverkets slut punkt på valvet för att kontrol lera åtkomst till nyckel valvet.Enable firewall and virtual network service endpoint on the vault to control access to the key vault.

  • Använd arbets ytan plattforms Central Azure Monitor Log Analytics för att granska nyckel, certifikat och hemlig användning i varje instans av Key Vault.Use the platform-central Azure Monitor Log Analytics workspace to audit key, certificate, and secret usage within each instance of Key Vault.

  • Delegera Key Vault instansiering och privilegie rad åtkomst och Använd Azure Policy för att framtvinga en konsekvent kompatibel konfiguration.Delegate Key Vault instantiation and privileged access and use Azure Policy to enforce a consistent compliant configuration.

  • Som standard används Microsoft-hanterade nycklar för huvudsaklig krypterings funktion och använder Kundhanterade nycklar vid behov.Default to Microsoft-managed keys for principal encryption functionality and use customer-managed keys when required.

  • Använd inte centraliserade instanser av Key Vault för program nycklar eller hemligheter.Don't use centralized instances of Key Vault for application keys or secrets.

  • Dela inte Key Vault instanser mellan program för att undvika hemlig delning i miljöer.Don't share Key Vault instances between applications to avoid secret sharing across environments.

Planera för styrningPlan for governance

Styrning tillhandahåller mekanismer och processer för att behålla kontrollen över dina program och resurser i Azure.Governance provides mechanisms and processes to maintain control over your applications and resources in Azure. Azure Policy är viktigt för att säkerställa säkerhet och efterlevnad inom företagets tekniska egendom.Azure Policy is essential to ensuring security and compliance within enterprise technical estates. Den kan upprätthålla viktiga hanterings-och säkerhets konventioner i Azures plattforms tjänster och komplettera Azure-rollbaserad åtkomst kontroll (Azure RBAC) som styr vilka åtgärder behöriga användare kan utföra.It can enforce vital management and security conventions across Azure platform services and supplement Azure role-based access control (Azure RBAC) that controls what actions authorized users can perform.

Design överväganden:Design considerations:

  • Ta reda på vilka Azure-principer som behövs.Determine what Azure policies are needed.

  • Använd hanterings-och säkerhets konventioner, till exempel användning av privata slut punkter.Enforce management and security conventions, such as the use of private endpoints.

  • Hantera och skapa princip tilldelningar med hjälp av princip definitioner kan återanvändas vid flera ärvda tilldelnings omfång.Manage and create policy assignments by using policy definitions can be reused at multiple inherited assignment scopes. Du kan ha centraliserade, grundläggande princip tilldelningar i hanterings grupp, prenumeration och resurs grupps omfång.You can have centralized, baseline policy assignments at management group, subscription, and resource group scopes.

  • Säkerställ kontinuerlig kompatibilitet med rapportering och granskning av efterlevnad.Ensure continuous compliance with compliance reporting and auditing.

  • Förstå att Azure Policy har gränser, t. ex. begränsning av definitioner i ett visst omfång: princip begränsningar.Understand that Azure Policy has limits, such as the restriction of definitions at any particular scope: policy limits.

  • Förstå regler för efterlevnad.Understand regulatory compliance policies. Dessa kan omfatta HIPAA, PCI-DSS eller SOC 2-principer för förtroende tjänster.These might include HIPAA, PCI-DSS, or SOC 2 trust service principles.

Design rekommendationer:Design recommendations:

  • Identifiera nödvändiga Azure-Taggar och Använd Lägg till princip läge för att framtvinga användning.Identify required Azure tags and use the append policy mode to enforce usage.

  • Mappa regler för efterlevnad och efterlevnad till Azure Policy definitioner och Azure-roll tilldelningar.Map regulatory and compliance requirements to Azure Policy definitions and Azure role assignments.

  • Upprätta Azure Policy definitioner på den översta rot hanterings gruppen så att de kan tilldelas ärvda omfång.Establish Azure Policy definitions at the top-level root management group so that they can be assigned at inherited scopes.

  • Hantera princip tilldelningar på den högsta lämpliga nivån med undantag på lägsta nivån, om det behövs.Manage policy assignments at the highest appropriate level with exclusions at bottom levels, if required.

  • Använd Azure Policy för att kontrol lera resurs leverantörs registreringar på nivåerna prenumeration och/eller hanterings grupp.Use Azure Policy to control resource provider registrations at the subscription and/or management group levels.

  • Använd inbyggda principer där det är möjligt att minimera drifts kostnader.Use built-in policies where possible to minimize operational overhead.

  • Tilldela den inbyggda rollen princip deltagare i ett visst omfång för att aktivera styrning på program nivå.Assign the built-in Policy Contributor role at a particular scope to enable application-level governance.

  • Begränsa antalet Azure Policy tilldelningar som gjorts i rot hanterings gruppens omfång för att undvika hantering genom undantag i ärvda omfång.Limit the number of Azure Policy assignments made at the root management group scope to avoid managing through exclusions at inherited scopes.

Definiera säkerhets övervakning och en gransknings principDefine security monitoring and an audit policy

Ett företag måste ha insyn i vad som händer i sin tekniska moln egendom.An enterprise must have visibility into what's happening within their technical cloud estate. Säkerhets övervakning och gransknings loggning av Azure Platform Services är en viktig del av ett skalbart ramverk.Security monitoring and audit logging of Azure platform services is a key component of a scalable framework.

Design överväganden:Design considerations:

  • Data lagrings perioder för gransknings data.Data retention periods for audit data. Azure AD Premium-rapporter har en lagrings period på 30 dagar.Azure AD Premium reports have a 30-day retention period.

  • Långsiktig arkivering av loggar som Azure-aktivitets loggar, VM-loggar och PaaS-loggar (Platform as a Service).Long-term archiving of logs such as Azure activity logs, VM logs, and platform as a service (PaaS) logs.

  • Grundläggande säkerhets konfiguration via Azures princip för virtuella datorer.Baseline security configuration via Azure in-guest VM policy.

  • Nöd korrigeringar för kritiska sårbarheter.Emergency patching for critical vulnerabilities.

  • Uppdatering för virtuella datorer som är offline under längre tids perioder.Patching for VMs that are offline for extended periods of time.

  • Krav för övervakning och avisering i real tid.Requirements for real-time monitoring and alerting.

  • Säkerhets information och integrering av händelse hantering med Azure Security Center och Azure Sentinel.Security information and event management integration with Azure Security Center and Azure Sentinel.

  • Sårbarhets bedömning av virtuella datorer.Vulnerability assessment of VMs.

Design rekommendationer:Design recommendations:

  • Använd funktioner för Azure AD-rapportering för att generera gransknings rapporter för åtkomst kontroll.Use Azure AD reporting capabilities to generate access control audit reports.

  • Exportera Azures aktivitets loggar till Azure Monitor loggar för långsiktig kvarhållning av data.Export Azure activity logs to Azure Monitor Logs for long-term data retention. Exportera till Azure Storage för långsiktig lagring efter två år, om det behövs.Export to Azure Storage for long-term storage beyond two years, if necessary.

  • Aktivera Security Center standard för alla prenumerationer och Använd Azure Policy för att säkerställa efterlevnad.Enable Security Center Standard for all subscriptions, and use Azure Policy to ensure compliance.

  • Övervaka bas operativ system uppdaterings drift via Azure Monitor loggar och Azure Security Center.Monitor base operating system patching drift via Azure Monitor Logs and Azure Security Center.

  • Använd Azure-principer för att automatiskt distribuera programkonfigurationer via VM-tillägg och framtvinga en kompatibel bas linje för VM-konfigurationen.Use Azure policies to automatically deploy software configurations through VM extensions and enforce a compliant baseline VM configuration.

  • Övervaka konfigurations avvikelsen för VM-säkerhet via Azure Policy.Monitor VM security configuration drift via Azure Policy.

  • Anslut standard resurs konfigurationen till en central Azure Monitor Log Analytics arbets yta.Connect default resource configurations to a centralized Azure Monitor Log Analytics workspace.

  • Använd en Azure Event Grid-baserad lösning för kundorienterad, avisering i real tid.Use an Azure Event Grid-based solution for log-oriented, real-time alerting.

Planera för plattforms säkerhetPlan for platform security

Du måste ha en felfri säkerhets position när du inför Azure.You must maintain a healthy security posture as you adopt Azure. Förutom synlighet måste du kunna styra de ursprungliga inställningarna och ändringarna när Azure-tjänsterna utvecklas.Besides visibility, you have to be able to control the initial settings and changes as the Azure services evolve. Därför är det viktigt att planera för plattforms säkerhet.Therefore, planning for platform security is key.

Design överväganden:Design considerations:

  • Delat ansvar.Shared responsibility.

  • Hög tillgänglighet och katastrof återställning.High availability and disaster recovery.

  • Konsekvent säkerhet i Azure-tjänster vad gäller data hanterings-och kontroll Plans åtgärder.Consistent security across Azure services in terms of data management and control plane operations.

  • Flera innehavare för viktiga plattforms komponenter.Multitenancy for key platform components. Detta inkluderar Hyper-V, HSM: er Key Vault och databas motorer.This includes Hyper-V, the HSMs underpinning Key Vault, and database engines.

Design rekommendationer:Design recommendations:

  • I sammanhanget med dina underliggande krav genomför du en gemensam granskning av varje tjänst som krävs.In the context of your underlying requirements, conduct a joint examination of each required service. Om du vill ta med dina egna nycklar kanske detta inte stöds för alla tjänster som beaktas.If you want to bring your own keys, this might not be supported across all considered services. Implementera relevant minskning så att inkonsekvenser inte hindrar önskade resultat.Implement relevant mitigation so that inconsistencies don't hinder desired outcomes. Välj lämpliga region par och haveri beredskaps områden som minimerar svars tiden.Choose appropriate region pairs and disaster recovery regions that minimize latency.

  • Utveckla en säkerhets lista för att bedöma tjänsternas säkerhets konfiguration, övervakning, aviseringar och hur du integrerar dem med befintliga system.Develop a security allow-list plan to assess services security configuration, monitoring, alerts, and how to integrate these with existing systems.

  • Ta reda på incident svars planen för Azure-tjänster innan du gör det möjligt för den att producera den.Determine the incident response plan for Azure services before allowing it into production.

  • Använd funktioner för Azure AD-rapportering för att generera gransknings rapporter för åtkomst kontroll.Use Azure AD reporting capabilities to generate access control audit reports.

  • Justera dina säkerhets krav med Azures plattforms översikter för att hålla dig uppdaterad med nyligen utgivna säkerhets kontroller.Align your security requirements with Azure platform roadmaps to stay current with newly released security controls.

  • Implementera en tom metod för att få åtkomst till Azure-plattformen, där det är lämpligt.Implement a zero-trust approach for access to the Azure platform, where appropriate.

Benchmark för Azure-säkerhetAzure Security Benchmark

Azures säkerhets benchmark innehåller en samling med högkvalitativa säkerhets rekommendationer som du kan använda för att skydda de flesta tjänster som du använder i Azure.The Azure Security Benchmark includes a collection of high-impact security recommendations you can use to help secure most of the services you use in Azure. Du kan tänka på dessa rekommendationer som "allmänt" eller "organisatoriska" eftersom de är tillämpliga på de flesta Azure-tjänster.You can think of these recommendations as "general" or "organizational" as they are applicable to most Azure services. Rekommendationerna för Azures säkerhets benchmark anpassas sedan för varje Azure-tjänst och den här anpassade vägledningen finns i service rekommendationer artiklar.The Azure Security Benchmark recommendations are then customized for each Azure service, and this customized guidance is contained in service recommendations articles.

I dokumentationen för Azures säkerhets benchmark anges säkerhets kontroller och tjänst rekommendationer.The Azure Security Benchmark documentation specifies security controls and service recommendations.

  • Säkerhets kontroller: rekommendationer för Azures säkerhets benchmark kategoriseras av säkerhets kontroller.Security controls: The Azure Security Benchmark recommendations are categorized by security controls. Säkerhets kontroller representerar oberoende säkerhets krav på hög nivå, till exempel nätverks säkerhet och data skydd.Security controls represent high-level vendor-agnostic security requirements, such as network security and data protection. Varje säkerhets kontroll har en uppsättning säkerhets rekommendationer och anvisningar som hjälper dig att implementera dessa rekommendationer.Each security control has a set of security recommendations and instructions that help you implement those recommendations.
  • Tjänst rekommendationer: när det är tillgängligt kommer benchmark-rekommendationer för Azure-tjänster att omfatta rekommendationer för Azure Security benchmark som skräddarsys specifikt för den tjänsten.Service recommendations: When available, benchmark recommendations for Azure services will include Azure Security Benchmark recommendations that are tailored specifically for that service.

Ramverk för tjänst aktiveringService enablement framework

Som affär senheter begär att distribuera arbets belastningar till Azure behöver du ytterligare insyn i en arbets belastning för att avgöra hur du uppnår lämpliga nivåer av styrning, säkerhet och efterlevnad.As business units request to deploy workloads to Azure, you need additional visibility into a workload to determine how to achieve appropriate levels of governance, security, and compliance. När en ny tjänst krävs måste du tillåta det.When a new service is required, you need to allow it. Följande tabell innehåller ett ramverk för att utvärdera företags säkerhets beredskap för Azure-tjänster:The following table provides a framework to assess enterprise security readiness of Azure services:

UtvärderingAssessment KategoriCategory KriterieCriteria
SäkerhetSecurity Nätverks slut punktNetwork endpoint Har tjänsten en offentlig slut punkt som är tillgänglig utanför ett virtuellt nätverk?Does the service have a public endpoint that is accessible outside of a virtual network?
Stöder den virtuella slut punkter för virtuella nätverk?Does it support virtual network service endpoints?
Kan Azure-tjänster interagera direkt med tjänst slut punkten?Can Azure services interact directly with the service endpoint?
Stöder den Azure Private Link-slutpunkter?Does it support Azure Private Link endpoints?
Kan den distribueras i ett virtuellt nätverk?Can it be deployed within a virtual network?
DataexfiltreringsskyddData exfiltration prevention Har PaaS-tjänsten en separat Border Gateway Protocol (BGP)-grupp i Azure ExpressRoute Microsoft-peering?Does the PaaS service have a separate Border Gateway Protocol (BGP) community in Azure ExpressRoute Microsoft peering? Exponerar ExpressRoute ett flödes filter för tjänsten?Does ExpressRoute expose a route filter for the service?
Stöder tjänsten privata länk slut punkter?Does the service support Private Link endpoints?
Framtvinga nätverks trafikflöde för hanterings-och data Plans åtgärderEnforce network traffic flow for management and data plane operations Är det möjligt att inspektera trafik som går in/avslutar tjänsten?Is it possible to inspect traffic entering/exiting the service? Kan trafiken tvingas-tunnelled med användardefinierad routning?Can traffic be force-tunnelled with user-defined routing?
Använder hanterings åtgärder Azure delade offentliga IP-adressintervall?Do management operations use Azure shared public IP ranges?
Är hanterings trafik riktad via en länk lokal slut punkt som exponeras på värden?Is management traffic directed via a link-local endpoint exposed on the host?
Data kryptering i vilaData encryption at-rest Används kryptering som standard?Is encryption applied by default?
Kan kryptering inaktive ras?Can encryption be disabled?
Utförs kryptering med Microsoft-hanterade nycklar eller kund hanterade nycklar?Is encryption performed with Microsoft-managed keys or customer-managed keys?
Data kryptering under överföringData encryption in-transit Är trafik till tjänsten krypterad på protokoll nivå (SSL/TLS)?Is traffic to the service encrypted at a protocol level (SSL/TLS)?
Finns det några HTTP-slutpunkter och kan de inaktive ras?Are there any HTTP endpoints, and can they be disabled?
Krypteras även underliggande tjänst kommunikation?Is underlying service communication also encrypted?
Utförs kryptering med Microsoft-hanterade nycklar eller kund hanterade nycklar?Is encryption performed with Microsoft-managed keys or customer-managed keys? (Har din egen kryptering stöd?)(Is bring your own encryption supported?)
ProgramvarudistributionSoftware deployment Kan program vara eller tredje parts produkter distribueras till tjänsten?Can application software or third-party products be deployed to the service?
Hur utförs och hanteras program distribution?How is software deployment performed and managed?
Kan principer tillämpas för att kontrol lera källans eller kod integriteten?Can policies be enforced to control source or code integrity?
Om det går att distribuera program vara kan program mot skadlig kod, sårbarhets hantering och verktyg för säkerhets övervakning användas?If software is deployable, can antimalware capability, vulnerability management, and security monitoring tools be used?
Tillhandahåller tjänsten sådana funktioner internt, till exempel med Azure Kubernetes-tjänsten?Does the service provide such capabilities natively, such as with Azure Kubernetes Service?
Identitets- och åtkomsthanteringIdentity and access management Autentisering och åtkomst kontrollAuthentication and access control Styrs alla kontroll Plans åtgärder av Azure AD?Are all control plane operations governed by Azure AD? Finns det ett nästlat kontroll plan, till exempel med Azure Kubernetes-tjänsten?Is there a nested control plane, such as with Azure Kubernetes Service?
Vilka metoder finns för att ge åtkomst till data planet?What methods exist to provide access to the data plane?
Är data planet integrerat med Azure AD?Does the data plane integrate with Azure AD?
Använder autentiseringen bwtween Azure-tjänster hanterade identiteter eller tjänstens huvud namn?Does authentication bwtween Azure services use managed identities or service principals?
Är Azure-till-IaaS (tjänst-till-virtuell-Network) autentisering via Azure AD?Is Azure-to-IaaS (service-to-virtual-network) authentication via Azure AD?
Hur hanteras alla tillämpliga nycklar och signaturer för delad åtkomst?How are any applicable keys or shared access signatures managed?
Hur kan åtkomst återkallas?How can access be revoked?
Ansvars fördelningSegregation of duties Har tjänsten separat kontroll plan och data Plans åtgärder i Azure AD?Does the service separate control plane and data plane operations within Azure AD?
Multi-Factor Authentication och villkorlig åtkomstMulti-factor authentication and conditional access Tvingas Multi-Factor Authentication för användare att betjäna interaktioner?Is multi-factor authentication enforced for user to service interactions?
StyrningGovernance Exportera och importera dataData export and import Kan du använda tjänsten för att importera och exportera data på ett säkert och krypterat sätt?Does service allow you to import and export data securely and encrypted?
Data sekretess och användningData privacy and usage Kan Microsoft-tekniker komma åt data?Can Microsoft engineers access the data?
Är Microsoft Support interaktionen med tjänsten granskad?Is any Microsoft Support interaction with the service audited?
DataplaceringData residency Är data som finns i tjänste distributions regionen?Is data contained to the service deployment region?
ÅtgärderOperations ÖvervakningMonitoring Integrerar tjänsten med Azure Monitor?Does the service integrate with Azure Monitor?
Säkerhets kopierings hanteringBackup management Vilka arbets belastnings data behöver säkerhets kopie ras?Which workload data need to be backed up?
Hur samlas säkerhets kopior in?How are backups captured?
Hur ofta kan säkerhets kopior tas?How frequently can backups be taken?
Hur länge kan säkerhets kopior bevaras för?How long can backups be retained for?
Är säkerhets kopior krypterade?Are backups encrypted?
Utfördes kryptering av säkerhets kopiering med Microsoft-hanterade nycklar eller kund hanterade nycklar?Is backup encryption performed with Microsoft-managed keys or customer-managed keys?
HaveriberedskapDisaster recovery Hur kan tjänsten användas i en regional och redundant miljö?How can the service be used in a regional redundant fashion?
Vad är det uppnådda målet för återställnings tid och återställnings punkt mål?What is the attainable recovery time objective and recovery point objective?
SKUSKU Vilka SKU: er är tillgängliga?What SKUs are available? Och hur skiljer de sig åt?And how do they differ?
Finns det några funktioner relaterade till säkerhet för Premium SKU?Are there any features related to security for Premium SKU?
KapacitetshanteringCapacity management Hur övervakas kapacitet?How is capacity monitored?
Vad är enheten för horisontell skala?What is the unit of horizontal scale?
Uppdaterings-och uppdaterings hanteringPatch and update management Kräver tjänsten aktiv uppdatering eller så sker uppdateringar automatiskt?Does the service require active updating or do updates happen automatically?
Hur ofta tillämpas uppdateringar?How frequently are updates applied? Kan de automatiseras?Can they be automated?
GranskaAudit Är kapslade kontroll Plans åtgärder fångade (till exempel Azure Kubernetes service eller Azure Databricks)?Are nested control plane operations captured (for example, Azure Kubernetes Service or Azure Databricks)?
Registreras viktiga data Plans aktiviteter?Are key data plane activities recorded?
KonfigurationshanteringConfiguration management Stöder den Taggar och ger ett put schema för alla resurser?Does it support tags and provide a put schema for all resources?
Efterlevnad för Azure-tjänsterAzure service compliance Attestering av tjänster, certifiering och externa granskningarService attestation, certification, and external audits Är tjänsten PCI/ISO/SOC kompatibel?Is the service PCI/ISO/SOC compliant?
Tjänst tillgänglighetService availability Är tjänsten en privat för hands version, en offentlig för hands version eller allmänt tillgänglig?Is the service a private preview, a public preview, or generally available?
I vilka regioner finns tjänsten?In what regions is the service available?
Vad är distributions omfånget för tjänsten?What is the deployment scope of the service? Är det en regional eller global tjänst?Is it a regional or global service?
Service nivå avtal (service avtal)Service-level agreements (SLAs) Vad är service avtalet för tjänst tillgänglighet?What is the SLA for service availability?
Om tillämpligt, vad är service avtalet för prestanda?If applicable, what is the SLA for performance?