Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Эта базовая база безопасности основана на предыдущей версии Microsoft Cloud Security Benchmark (версия 1.0). Текущие рекомендации по безопасности фабрики данных см. в статье "Защита фабрики данных Azure".
Эта базовая политика безопасности применяет рекомендации от Microsoft cloud security benchmark версии 1.0 к Data Factory. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Фабрике данных.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политик Azure, они перечислены в этом базовом наборе, чтобы помочь вам оценить соответствие контролям и рекомендациям бенчмарка безопасности облака Microsoft. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Примечание.
Функции , не применимые к фабрике данных, были исключены. Чтобы узнать, как фабрика данных полностью сопоставляется с эталонным показателем безопасности microsoft cloud security, см. полный файл сопоставления базовых показателей безопасности фабрики данных.
Профиль безопасности
Профиль безопасности суммирует важные аспекты поведения Data Factory, которые могут приводить к повышенным требованиям к безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продукта | Аналитика, интеграция |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | Истина |
| Хранит данные клиентов в состоянии покоя | Истина |
Безопасность сети
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1: установка границы сегментации сети
Функции
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальной сети клиента. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Заметки о функциях: среда выполнения интеграции Azure-SSIS поддерживает внедрение виртуальной сети в виртуальную сеть клиента. При создании среды выполнения Azure-SSIS ее можно объединить с виртуальной сетью. С помощью этого Фабрика данных Azure сможет создавать определенные сетевые ресурсы, такие как группа безопасности сети и подсистема балансировки нагрузки. Вы также можете указать собственный статический общедоступный IP-адрес или использовать Фабрику данных Azure для его создания. Локальную среду выполнения интеграции можно настроить на виртуальной машине IaaS в виртуальной сети клиента. Сетевой трафик также регулируется параметрами группы безопасности сети и брандмауэра клиента.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Присоединение среды выполнения интеграции Azure-SSIS к виртуальной сети
Поддержка группы безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в подсетях. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Заметки о функциях: среда выполнения интеграции Azure-SSIS поддерживает внедрение виртуальной сети в виртуальную сеть клиента. Это соответствует всем правилам NSG (группы безопасности сети) и брандмауэра, заданным клиентом в их виртуальной сети. При создании среды выполнения Azure-SSIS ее можно объединить с виртуальной сетью. С помощью этого Фабрика данных Azure сможет создавать определенные сетевые ресурсы, такие как группа безопасности сети и подсистема балансировки нагрузки. Вы также можете указать собственный статический общедоступный IP-адрес или использовать Фабрику данных Azure для его создания. В NSG, автоматически созданной Фабрикой данных Azure, порт 3389 по умолчанию открыт для всего трафика. Заблокируйте порт, чтобы убедиться, что доступ есть только у администраторов.
Локальную среду выполнения интеграции можно настроить на виртуальной машине IaaS в виртуальной сети клиента. Сетевой трафик также регулируется параметрами группы безопасности сети и брандмауэра клиента.
В зависимости от ваших приложений и стратегии сегментации предприятия ограничьте или разрешите трафик между внутренними ресурсами согласно правилам NSG. К некоторым четко определенным приложениям (например, трехуровневому приложению) может применяться подход, обеспечивающий высокий уровень безопасности по принципу «отказывать по умолчанию».
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Присоединение среды выполнения интеграции Azure-SSIS к виртуальной сети
NS-2: защита облачных служб с помощью элементов управления сетью
Функции
Приватный канал Azure
Описание. Возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или брандмауэром Azure). Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Дополнительные рекомендации. Вы можете настроить частные конечные точки в управляемой виртуальной сети Фабрики данных Azure для подключения к хранилищам данных в частном порядке.
Фабрика данных не предоставляет возможности настройки конечных точек службы для виртуальной сети.
При создании среды выполнения Azure-SSIS ее можно объединить с виртуальной сетью. Благодаря этому Фабрика данных Azure может создавать определенные сетевые ресурсы, такие как группа безопасности сети и подсистема балансировки нагрузки. Вы также можете указать собственный статический общедоступный IP-адрес или использовать Фабрику данных Azure для его создания. В NSG, автоматически созданной Фабрикой данных Azure, порт 3389 по умолчанию открыт для всего трафика. Заблокируйте порт, чтобы убедиться, что доступ есть только у администраторов. Вы можете развернуть локальные среды IR на локальном компьютере или виртуальной машине Azure в виртуальной сети. Убедитесь, что для развертывания подсети виртуальной сети настроена группа безопасности сети, разрешающая только административный доступ. В целях защиты в среде выполнения интеграций Azure-SSIS IR на всех узлах по умолчанию запрещается исходящий трафик для порта 3389 в правиле брандмауэра Windows. Вы можете защитить ресурсы, настроенные для виртуальной сети, путем связывания NSG с подсетью и задания строгих правил.
Ссылка: Azure Private Link для Azure Data Factory
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания (не NSG или брандмауэра Azure) или переключателя переключателя "Отключить доступ к общедоступной сети". Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Заметки о функциях. Отключение доступа к общедоступной сети применимо только к Self-Hosted среде выполнения интеграции (SHIR), а не к Azure IR или SSIS IR. При использовании SHIR включение фабрики данных с приватным подключением явно не блокирует общедоступный доступ, но клиент может заблокировать его вручную.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Ссылка: Azure Private Link для Azure Data Factory
Управление идентификацией
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Функции
Для доступа к плоскости данных требуется аутентификация Azure AD
Описание: Служба поддерживает аутентификацию Azure AD для доступа к плоскости данных. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Заметки о функциях. Фабрика данных может выполнять встроенную проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure AD.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Ссылка: Управляемое удостоверение для фабрики данных Azure
Методы локальной аутентификации для доступа к каналу данных
Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Заметки о функциях. Проверку подлинности Windows можно использовать для доступа к источникам данных из пакетов служб SSIS, работающих в среде выполнения интеграции Azure-SSIS (IR). Хранилища данных могут быть локальными, размещаться на виртуальных машинах Azure или выполняться в Azure в качестве управляемых служб. Однако рекомендуется избегать использования локальной проверки подлинности и использования Azure AD везде, где это возможно. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Доступ к хранилищам данных и общим папкам с проверкой подлинности Windows из пакетов служб SSIS в Azure
IM-3: Автоматическое и безопасное управление идентификациями приложений
Функции
управляемые идентификации.
Описание: Действия уровня данных поддерживают проверку подлинности с помощью управляемых удостоверений. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Заметки о функциях. По умолчанию при создании фабрики данных с помощью портала Azure или PowerShell автоматически создается управляемое удостоверение. Используя SDK или REST API, управляемая идентичность будет создана только в том случае, если пользователь явно указывает ключевое слово 'identity'.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник: Управляемое удостоверение для Azure Data Factory и Azure Synapse
Субъекты-службы
Описание: Уровень данных поддерживает проверку подлинности с помощью принципов службы. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Заметки о функциях. Фабрика данных позволяет использовать управляемые удостоверения, принципы службы для проверки подлинности в хранилищах данных и вычислениях, поддерживающих проверку подлинности AAD.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
IM-7: Ограничение доступа к ресурсам на основе условий
Функции
Условный доступ для плоскости данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Условный доступ: облачные приложения, действия и контекст проверки подлинности
IM-8: ограничение раскрытия учетных данных и секретов
Функции
Поддержка интеграции и хранения учетных данных службы и секретов в Azure Key Vault
Описание: Плоскость управления данными поддерживает нативное использование Azure Key Vault для хранения учетных данных и секретов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Заметки о функциях. Вы можете хранить учетные данные для хранилищ данных и вычислений в Azure Key Vault. Фабрика данных Azure извлекает учетные данные при выполнении действия, которое использует хранилище данных или вычислительный ресурс.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Хранение учетных данных в Azure Key Vault
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Функции
Учетные записи локального администратора
Описание. Служба имеет концепцию локальной административной учетной записи. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-7. Соблюдение принципа минимально необходимого администрирования (предоставление наименьших привилегий)
Функции
Azure RBAC для плоскости данных
Описание. Управление доступом в Azure Role-Based (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Корпорация Майкрософт |
Заметки о функциях. Фабрика данных интегрируется с Azure RBAC для управления ресурсами. С помощью RBAC можно управлять доступом к ресурсам Azure посредством назначения ролей. Роли можно назначать пользователям, группам, служебным принципалам и управляемым удостоверениям. Для некоторых ресурсов предварительно определены встроенные роли. Можно выполнять инвентаризацию или запрашивать эти роли с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure.
Привилегии, назначаемые ресурсам через Azure RBAC, должны ограничиваться необходимыми ролям возможностями. Этот метод дополняет метод just-in-time (JIT), реализованный в Azure AD PIM. Регулярно проверяйте роли и назначения.
Используйте встроенные роли для предоставления разрешений. Создавайте настраиваемые роли только при необходимости.
Вы можете создать настраиваемую роль в Azure AD с более ограниченным доступом к Фабрике данных.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Роли и разрешения для фабрики данных Azure
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Блокировка запросов клиента
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Блокировка клиента для Microsoft Azure
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Функции
Обнаружение конфиденциальных данных и классификация
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Ссылка:Подключение Data Factory к Microsoft Purview
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание: Служба поддерживает решение DLP для мониторинга перемещения конфиденциальной информации (в контенте клиента). Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Функции
Шифрование данных при передаче
Описание: Служба поддерживает шифрование данных в процессе передачи для канала данных. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Корпорация Майкрософт |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Вопросы безопасности для перемещения данных в Фабрике данных Azure
DP-4: включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Корпорация Майкрософт |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Шифрование фабрики данных Azure с помощью ключей, управляемых клиентом
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Шифрование фабрики данных Azure с помощью ключей, управляемых клиентом
DP-6: используйте безопасный процесс управления ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Хранение учетных данных в Azure Key Vault
DP-7: безопасное управление сертификатами
Функции
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Хранение учетных данных в Azure Key Vault
Управление активами
Дополнительные сведения см. в эталонном показателе безопасности облака Microsoft: Управление активами.
AM-2: использование только утвержденных служб
Функции
Поддержка сервиса Azure Policy
Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Заметки о функциях: Используйте политику Azure для аудита и ограничения того, какие службы пользователи могут развернуть в вашей среде. Используйте Azure Resource Graph для запрашивания и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Встроенные определения политики Azure для фабрики данных
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для службы или предложения продуктов
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Н/Д | Н/Д |
Заметки о функциях: локальная среда IR (SHIR), запущенная на виртуальных машинах Azure и контейнерах, использует Defender для установления безопасной конфигурации.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4. Включите ведение журнала для расследования безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Корпорация Майкрософт |
Заметки о функциях. Журналы действий доступны автоматически. Журналы действий можно использовать для поиска ошибок при устранении неполадок, а также для наблюдения за тем, как пользователи в вашей организации изменяют ресурсы.
Используйте Microsoft Defender для облака и Azure Policy для включения журналов ресурсов и сбора данных из журналов.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Параметры диагностики в Azure Monitor
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Возможность встроенного резервного копирования службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неправда | Клиент |
Заметки о функциях. Чтобы создать резервную копию всего кода в Фабрике данных Azure, используйте функции управления версиями в Фабрике данных.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник: Контроль версий в Фабрике данных Azure
Следующие шаги
- Ознакомьтесь с обзором стандарта безопасности в облаке Microsoft
- Дополнительные сведения о базовых показателях безопасности Azure