Базовые показатели безопасности Azure для служебной шины

Этот базовый план безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к Service Bus. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к служебной шине.

Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.

Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.

Профиль безопасности

Профиль безопасности обобщает поведение Service Bus с высоким воздействием, что может привести к усилению мер безопасности.

Сетевая безопасность

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.

NS-1. Установка границ сегментации сети

Функции

Интеграция виртуальной сети

Описание. Служба поддерживает развертывание в частной виртуальной сети клиента. Подробнее.

Заметки о функциях. Виртуальные сети поддерживаются только в пространствах имен служебной шины уровня "Премиум".

Руководство по настройке. Развертывание службы в виртуальной сети. Назначьте частные IP-адреса ресурсу (если применимо), если не существует строгой причины назначения общедоступных IP-адресов непосредственно ресурсу.

Справочник. Расширенные сценарии безопасности, включенные интеграцией с виртуальной сетью

Поддержка группы безопасности сети

Описание: Трафик сервисной сети соблюдает назначение правил групп безопасности сети на своих подсетях. Подробнее.

Заметки о функциях. Виртуальные сети поддерживаются только в пространствах имен служебной шины уровня "Премиум". Теги служб можно использовать для определения элементов управления доступом к сети в группах безопасности сети или брандмауэре Azure.

Руководство по настройке. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или ip-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети (NSG) запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и балансировщиков нагрузки Azure.

Справочник. Безопасность сети для служебной шины Azure

NS-2. Защита облачных служб с помощью сетевых элементов управления

Функции

Приватный канал Azure

Описание. Возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или брандмауэром Azure). Подробнее.

Заметки о функциях. Виртуальные сети поддерживаются только в пространствах имен служебной шины уровня "Премиум".

Руководство по настройке. Развертывание частных конечных точек для всех ресурсов Azure, поддерживающих функцию приватного канала, чтобы установить частную точку доступа для ресурсов.

Справочник. Разрешение доступа к пространствам имен служебной шины Azure через частные конечные точки

Отключение доступа к общедоступной сети

Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания (не NSG или брандмауэра Azure) или переключателя переключателя "Отключить доступ к общедоступной сети". Подробнее.

Заметки о функциях. Брандмауэры и виртуальные сети поддерживаются только на уровне "Премиум" служебной шины.

Руководство по настройке: Отключите доступ к общедоступной сети, используя либо правило фильтрации IP-адресов уровня обслуживания ACL, либо переключатель для доступа к общедоступной сети.

Справочник.Разрешение доступа к пространству имен служебной шины Azure из определенных IP-адресов или диапазонов

Управление идентичностью

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.

IM-1. Использование централизованной системы идентификации и проверки подлинности

Функции

Требуется проверка подлинности Azure AD для доступа к плоскости управления данными.

Описание. Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Подробнее.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Справочник: Аутентификация и авторизация Service Bus

Методы локальной аутентификации для доступа к плоскости данных

Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Подробнее.

Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Справочник: Аутентификация и авторизация Service Bus

IM-3. Безопасное и автоматическое управление идентичностями приложений

Функции

Управляемые учётные записи

Описание: Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.

Руководство по настройке: Используйте управляемые удостоверения Azure вместо учетных записей службы, которые могут аутентифицировать в службах и ресурсах Azure, поддерживающих аутентификацию в Azure Active Directory (Azure AD). Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.

Справочник.Проверка подлинности управляемого удостоверения с помощью Azure Active Directory для доступа к ресурсам служебной шины Azure

Субъекты-службы

Описание: Плоскость данных поддерживает аутентификацию с использованием служебных принципов. Подробнее.

Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.

Справочник.Проверка подлинности и авторизация приложения с помощью Azure Active Directory для доступа к сущностям служебной шины Azure

IM-7. Ограничение доступа к ресурсам в зависимости от условий

Функции

Условный доступ к каналу данных

Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.

Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.

IM-8. Ограничение раскрытия учетных данных и секретов

Функции

Поддержка интеграции и хранения учетных данных службы и секретов в Azure Key Vault

Описание: Плоскость данных поддерживает нативное использование Azure Key Vault в качестве хранилища учетных данных и секретов. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Привилегированный доступ

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.

PA-1. Разделение и ограничение высоко привилегированных или административных пользователей

Функции

Учетные записи локального администратора

Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)

Функции

Azure RBAC для плоскости данных

Описание: Управление доступом на основе роли в Azure (Azure RBAC) можно использовать для управления доступом к действиям уровня плоскости данных службы. Подробнее.

Руководство по настройке. Использование управления доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure с помощью встроенных назначений ролей. Роли RBAC Azure можно назначать пользователям, группам, принципам службы и управляемым удостоверениям.

Справочник.Проверка подлинности управляемого удостоверения с помощью Azure Active Directory для доступа к ресурсам служебной шины Azure

PA-8. Определение процесса доступа для поддержки поставщика облачных служб

Функции

Сервис "Контроль доступа клиентов"

Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Защита данных

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.

DP-1: обнаружение, классификация и метка конфиденциальных данных

Функции

Обнаружение конфиденциальных данных и классификация

Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные

Функции

Защита от утечки и потери данных

Описание: Служба поддерживает решение DLP для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-3. Шифрование конфиденциальных данных при передаче

Функции

Шифрование данных при передаче

Описание. Служба поддерживает шифрование данных в транзитном режиме для плоскости данных. Подробнее.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Справочник.Применение минимальной требуемой версии протокола TLS для запросов к пространству имен служебной шины

DP-4. Включение шифрования неактивных данных по умолчанию

Функции

Шифрование неактивных данных с помощью ключей платформы

Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости

Функции

Шифрование неактивных данных с помощью CMK

Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.

Заметки о функциях. Эта функция поддерживается уровнем "Премиум" служебной шины Azure. Его нельзя включить для пространств имен Service Bus стандартного уровня.

Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.

Справочник.Настройка ключей, управляемых клиентом, для шифрования неактивных данных служебной шины Azure

DP-6. Использование процесса безопасного управления ключами

Функции

Управление ключами в Azure Key Vault

Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.

Заметки о функциях. Эта функция поддерживается уровнем "Премиум" служебной шины Azure. Его нельзя включить для пространств имен Service Bus стандартного уровня.

Руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Ротация и аннулирование ключей в Azure Key Vault и вашей службе на основе установленного расписания или при завершении срока действия или компрометации ключей. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются с помощью идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.

Справочник.Настройка ключей, управляемых клиентом, для шифрования неактивных данных служебной шины Azure

DP-7. Использование процесса управления безопасными сертификатами

Функции

Управление сертификатами в Azure Key Vault

Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление активами

Для получения дополнительной информации см. Microsoft Cloud Security Benchmark: управление активами.

AM-2. Использование только утвержденных служб

Функции

Поддержка политик Azure

Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Подробнее.

Руководство по настройке. Использование Microsoft Defender для облака для настройки политики Azure для аудита и применения конфигураций ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов. Используйте эффекты политики Azure [deny] и [deployIfNotExists], чтобы обеспечить безопасную настройку ресурсов Azure.

Справочник. Встроенные определения политики Azure для обмена сообщениями служебной шины Azure

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Функции

Microsoft Defender для сервисов и продуктовых предложений

Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

LT-4. Включить ведение журнала для расследования инцидентов безопасности

Функции

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.

Руководство по настройке. Включение журналов ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей или в SQL Azure есть журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа службы и ресурса Azure.

Справочник: по мониторингу данных службы шины Azure

Дальнейшие шаги

• Ознакомьтесь с обзором Microsoft Cloud Security Benchmark
• Дополнительные сведения о базовых показателях безопасности Azure