Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Этот базовый уровень безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к службе Azure Bot. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к службе Azure Bot.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Замечание
Функции , неприменимые к службе Azure Bot, были исключены. Сведения о том, как служба Azure Bot полностью сопоставляется с эталонным показателем безопасности облака Майкрософт, см. полный файл сопоставления базовых показателей безопасности службы Azure Bot.
Профиль безопасности
Профиль безопасности обобщает наиболее значительное поведение службы Azure Bot, которое может потребовать повышенного внимания к вопросам безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | АИ+МО |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | Неправда |
| Сохраняет данные клиента в состоянии покоя | Верно |
Сетевая безопасность
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
Описание. Служба поддерживает развертывание в частной виртуальной сети клиента. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Развертывание службы в виртуальной сети. Назначьте частные IP-адреса ресурсу (если применимо), если не существует строгой причины назначения общедоступных IP-адресов непосредственно ресурсу.
Справочник. Изоляция сети в службе Azure Bot
Поддержка группы безопасности сети
Описание: Сетевой трафик службы учитывает правила назначения сетевых групп безопасности в подсетях. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или ip-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети (NSG) запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и балансировщиков нагрузки Azure.
Справочник.Использование расширения службы приложений Direct Line в виртуальной сети
NS-2. Защита облачных служб с помощью сетевых элементов управления
Функции
Приватный канал Azure
описание: возможность фильтрации собственных IP-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или брандмауэром Azure). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях. Единственный способ сделать это в службе Azure Bot — использовать расширение Службы приложений Direct Line.
Руководство по настройке. Развертывание частных конечных точек для службы Azure Bot, поддерживающей функцию приватного канала, чтобы установить частную точку доступа для ресурсов.
Справочник. Настройка сетевой изоляции
Отключение доступа к общедоступной сети
Описание: Служба поддерживает отключение доступа к общедоступной сети либо через использование правила фильтрации IP-адресов на уровне службы (не NSG или брандмауэра Azure), либо через переключатель "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке: Отключение доступа к общедоступной сети с помощью тумблера.
Справочник. Настройка сетевой изоляции
Управление идентичностью
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Требуется аутентификация в Azure AD для доступа к плоскости данных
Описание: Служба поддерживает аутентификацию Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справочник. Проверка подлинности с помощью API Bot Connector
Методы локальной аутентификации для доступа к панели управления данными
Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке. При добавлении Direct Channel Bot Framework создает секретные ключи. Клиентское приложение использует эти ключи для проверки подлинности запросов API Direct Line, связанных с ботом.
Справочник. Подключение бота к Direct Line
IM-3. Безопасное и автоматическое управление идентичностями приложений
Функции
Управляемые учётные записи
Описание: Действия в плоскости данных поддерживают аутентификацию с использованием управляемых удостоверений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке: По возможности используйте управляемые удостоверения Azure вместо служебных принципалов, поскольку они могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.
Справочник. Создание ресурса Azure Bot
Субъекты-службы
Описание: Платформа данных поддерживает проверку подлинности с помощью сервисных принципалов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник:Добавление проверки подлинности к боту
IM-7. Ограничение доступа к ресурсам в зависимости от условий
Функции
Условный доступ для плоскости данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Поддержка интеграции и хранения учетных данных служб и секретов в Azure Key Vault
Описание: Плоскость управления данными поддерживает нативное использование Azure Key Vault для хранения учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Рекомендации по конфигурации: Убедитесь, что секреты и учетные данные хранятся в безопасных местах, таких как Azure Key Vault, вместо встраивания их в код или файлы конфигурации.
Справочник. Шифрование службы Azure Bot для неактивных данных
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-1. Разделение и ограничение высоко привилегированных или административных пользователей
Функции
Учетные записи локального администратора
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)
Функции
Azure RBAC для плоскости данных
Описание. Управление доступом в Azure Role-Based (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-1: обнаружение, классификация и метка конфиденциальных данных
Функции
Обнаружение конфиденциальных данных и классификация
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание: Служба поддерживает решение DLP для мониторинга перемещения конфиденциальной информации (в контенте клиента). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных в пути
Описание: Служба поддерживает шифрование данных в процессе передачи для канала данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Служба Azure Bot, применяющая безопасность транспортного уровня (TLS) 1.2
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Шифрование службы Azure Bot для неактивных данных
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Справочник. Шифрование службы Azure Bot для неактивных данных
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Ротируйте и отзывайте ключи в Azure Key Vault и вашей службе по определенному расписанию или в случае вывода ключа из использования или его компрометации. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и указываются с помощью идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Справочник. Шифрование службы Azure Bot для неактивных данных
Управление активами
Дополнительные сведения см. в эталонном показателе безопасности облака Microsoft: Управление активами.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке: Используйте Microsoft Defender для облачных решений, чтобы настроить политику Azure для аудита и применения конфигураций ваших Ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов. Используйте политику Azure с эффектами [запретить] и [развернуть, если отсутствует] для обеспечения безопасной конфигурации ресурсов Azure.
Справочник. Встроенные определения политики Azure для службы Azure Bot
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для предложения сервисов/продуктов
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4. Включение логирования для расследования инцидентов безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неправда | Клиент |
Руководство по настройке. Включение журналов ресурсов для службы.
Справочник. Мониторинг службы Azure Bot
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание: Служба может быть резервно сохранена службой Azure Backup. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях: служба Bot — это служба обмена сообщениями; хранилище — это исключительно метаданные и кэширование временных сообщений (<24 часа). Резервное копирование ресурсов службы Bot Service не будет иметь значительного влияния, так как основное хранилище информации о боте находится в других ресурсах, управляемых клиентом.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность встроенного резервного копирования службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Дальнейшие шаги
- Ознакомьтесь с обзором стандарта безопасности в облаке Microsoft
- Дополнительные сведения о базовых показателях безопасности Azure