Базовые показатели безопасности Azure для Azure NetApp Files

Этот базовый план безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к Azure NetApp Files. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Azure NetApp Files.

Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.

Если функция имеет соответствующие определения политик Azure, они перечислены в этом базовом наборе, чтобы помочь вам оценить соответствие контролям и рекомендациям бенчмарка безопасности облака Microsoft. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.

Профиль безопасности

Профиль безопасности содержит общие сведения о поведении Azure NetApp Files, что может привести к повышению безопасности.

Безопасность сети

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.

NS-1: установка границы сегментации сети

Функции

Интеграция с виртуальной сетью

Описание: Служба поддерживает развертывание в частной виртуальной сети клиента (VNet). Подробнее.

Руководство по настройке. Развертывание службы в виртуальной сети. Назначьте частные IP-адреса ресурсу (если применимо), если не существует строгой причины назначения общедоступных IP-адресов непосредственно ресурсу.

Справочник. Создание тома NFS для Azure NetApp Files

Поддержка группы безопасности сети

Описание: Сетевой трафик службы соблюдает назначение правил групп безопасности сети в подсетях. Подробнее.

Руководство по настройке. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или ip-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и балансировщиков нагрузки Azure.

Справочник. Рекомендации по планированию сети Azure NetApp Files

Управление идентификацией

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.

IM-1: Использование централизованной системы удостоверений и проверки подлинности

Функции

Для доступа к плоскости данных требуется аутентификация Azure AD

Описание. Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Подробнее.

Заметки о функциях: Azure NetApp Files предоставляет стандартные протоколы NFS и SMB, использующие стандартные клиенты, предоставляемые ОС.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

IM-3: Автоматическое и безопасное управление идентификациями приложений

Функции

управляемые идентификации.

Описание: Действия в плоскости данных поддерживают аутентификацию с помощью управляемых удостоверений. Подробнее.

Заметки о функциях. Управляемое удостоверение используется для доступа к управляемому клиентом ключу в Azure Key Vault для сценариев шифрования неактивных данных.

Справочник.Настройка ключей, управляемых клиентом, для шифрования томов Azure NetApp Files

Субъекты-службы

Описание: Плоскость управления данными поддерживает проверку подлинности с помощью установок служб. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

IM-7: Ограничение доступа к ресурсам на основе условий

Функции

Условный доступ для плоскости данных

Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

IM-8: ограничение раскрытия учетных данных и секретов

Функции

Поддержка интеграции и хранения учетных данных службы и секретов в Azure Key Vault

Описание: Плоскость управления данными поддерживает собственное использование Azure Key Vault для хранения учетных данных и секретов. Подробнее.

Заметки о функциях: эта функция в настоящее время общедоступна (GA).

Справочник.Настройка ключей, управляемых клиентом, для шифрования томов Azure NetApp Files

Привилегированный доступ

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.

PA-7. Соблюдение принципа минимально необходимого администрирования (предоставление наименьших привилегий)

Функции

Azure RBAC для плоскости данных

Описание. Контроль доступа на основе ролей Azure (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Подробнее.

Заметки о функциях: Azure NetApp Files поддерживает функции Azure RBAC. Наряду со встроенными ролями Azure можно создавать пользовательские роли для Azure NetApp Files.

Руководство по настройке. Полный список разрешений Azure NetApp Files см. в статье об операциях поставщика ресурсов Azure.Microsoft.NetApp

PA-8. Определение процесса доступа для поддержки поставщика облачных служб

Функции

Блокировка запросов клиента

Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Защита данных

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Функции

Обнаружение конфиденциальных данных и классификация

Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные

Функции

Защита от утечки и потери данных

Описание: Служба поддерживает решение DLP для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-3: шифрование передаваемых конфиденциальных данных

Функции

Шифрование данных при передаче

Описание: Служба поддерживает шифрование данных в процессе передачи для канала передачи данных. Подробнее.

Заметки о функциях: Azure NetApp Files поддерживает дополнительное шифрование для SMB3 и NFSv4.x

Руководство по настройке: Включите безопасную передачу в службах, где имеется встроенная функция шифрования данных в транзите. Принудительное применение ПРОТОКОЛА HTTPS в любых веб-приложениях и службах и обеспечение использования TLS версии 1.2 или более поздней версии. Устаревшие версии, такие как SSL 3.0, tls версии 1.0 должны быть отключены. Для удаленного управления Виртуальные машины используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Трафик данных между клиентами NFSv4.1 и томами Azure NetApp Files можно зашифровать с помощью Kerberos с шифрованием AES-256.

Справочник.Общие сведения о шифровании данных в Azure NetApp Files

DP-4: включение шифрования неактивных данных по умолчанию

Функции

Шифрование неактивных данных с помощью ключей платформы

Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.

Заметки о функциях: Azure NetApp Files использует шифрование данных на месте по умолчанию от Microsoft.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости

Функции

Шифрование неактивных данных с помощью CMK

Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.

Примечания к функциям: эта функция доступна в общем пользовании (GA).

Руководство по настройке. Для использования ключей, управляемых клиентом, с Azure NetApp Files необходимо использовать стандартные сетевые функции.

Справочник.Настройка ключей, управляемых клиентом, для шифрования томов Azure NetApp Files

DP-6: используйте безопасный процесс управления ключами

Функции

Управление ключами в Azure Key Vault

Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.

Руководство по настройке. Azure Key Vault поддерживается как часть функции ключей, управляемых клиентом.

Справочник.Настройка ключей, управляемых клиентом, для шифрования томов Azure NetApp Files

DP-7: безопасное управление сертификатами

Функции

Управление сертификатами в Azure Key Vault

Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление активами

Дополнительные сведения см. в документе Microsoft cloud security benchmark: Asset management.

AM-2: использование только утвержденных служб

Функции

Поддержка сервиса Azure Policy

Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.

Руководство по настройкам: Используйте Microsoft Defender for Cloud для настройки политики Azure для аудита и применения конфигураций ваших ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте политики Azure [deny] и [deploy if not exists], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.

Справочник: Определения политик Azure для Azure NetApp Files

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Функции

Microsoft Defender для услуг и продуктовых предложений

Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

LT-4. Включите ведение журнала для расследования безопасности

Функции

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.

Заметки о функциях: эта функция в настоящее время недоступна.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Резервное копирование и восстановление

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.

BR-1. Обеспечение регулярного автоматического резервного копирования

Функции

Azure Backup

Описание: Служба может быть сохранена с помощью службы Azure Backup. Подробнее.

Заметки о функциях. Хотя Azure Backup не поддерживается, доступно решение для резервного копирования на основе службы.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Возможность встроенного резервного копирования службы

Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.

Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.

Справочник. Общие сведения о резервном копировании Azure NetApp Files

Следующие шаги

• Ознакомьтесь с обзором Microsoft Cloud Security Benchmark
• Дополнительные сведения о базовой конфигурации безопасности Azure.