Standardní hodnoty zabezpečení Azure pro Azure Lighthouse
Tento standardní plán zabezpečení použije pokyny z srovnávacího testu cloudového zabezpečení Microsoftu verze 1.0 na Azure Lighthouse. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro Azure Lighthouse.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů a doporučení srovnávacích testů zabezpečení cloudu od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce , které se nevztahují na Azure Lighthouse, byly vyloučeny. Pokud chcete zjistit, jak se Služba Azure Lighthouse kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Služby Azure Lighthouse.
Profil zabezpečení
Profil zabezpečení shrnuje chování služby Azure Lighthouse s vysokým dopadem, což může vést k vyšším aspektům zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | MGMT/ zásady správného řízení |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ne |
| Ukládá obsah zákazníka v klidovém stavu. | Ano |
Ochrana dat
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Ochrana dat.
DP-3: Šifrování přenášených citlivých dat
Funkce
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Azure Lighthouse využívá výchozí šifrování přenášených dat od Microsoftu.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Dvojité šifrování
DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.
Funkce
Šifrování dat v klidovém stavu pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno. Veškerý uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Azure Lighthouse využívá výchozí šifrování neaktivních uložených dat od Microsoftu.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Dvojité šifrování
DP-5: Použití možnosti klíče spravovaného zákazníkem při šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování dat v klidovém stavu pomocí CMK
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Správa aktiv
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa prostředků.
AM-2: Používejte jenom schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy k auditování a vynucování konfigurací prostředků Azure. Azure Monitor slouží k vytváření upozornění, když se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [odepřít] a [nasadit, pokud neexistuje].
Referenční informace: Předdefinované definice zásad služby Azure Lighthouse
Protokolování a detekce hrozeb
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Protokolování a detekce hrozeb.
LT-4: Povolení protokolování pro šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Přestože Azure Lighthouse nepodporuje protokoly prostředků, protokoly aktivit se podporují.
Zákazníci, kteří mají delegovaná předplatná pro Azure Lighthouse, můžou zobrazit data protokolu aktivit Azure a zobrazit všechny provedené akce. Zákazníci tak získáte úplný přehled o operacích, které poskytovatelé služeb provádějí, a o operacích, které provádějí uživatelé v rámci vlastního tenanta Azure Active Directory (Azure AD) zákazníka.
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Další kroky
- Podívejte se na přehled srovnávacích testů zabezpečení cloudu Microsoftu.
- Další informace o základních úrovních zabezpečení Azure