Linha de base de segurança do Azure para o Data Factory
Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 ao Data Factory. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Data Factory.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis ao Data Factory foram excluídas. Para ver como o Data Factory mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro de mapeamento completo da linha de base de segurança do Data Factory.
Perfil de segurança
O perfil de segurança resume os comportamentos de elevado impacto do Data Factory, o que pode resultar em considerações de segurança acrescidas.
| Atributo comportamento do serviço | Valor |
|---|---|
| Product Category (Categoria de Produto) | Análise, Integração |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | Verdadeiro |
| Armazena o conteúdo do cliente inativo | Verdadeiro |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: o runtime de integração do Azure-SSIS suporta a injeção de rede virtual na rede virtual do cliente. Ao criar uma Integration Runtime do Azure-SSIS (IR), pode associá-la a uma rede virtual. Permitirá Azure Data Factory criar determinados recursos de rede, como um NSG e um balanceador de carga. Também pode fornecer o seu próprio endereço IP público estático ou ter Azure Data Factory criar um para si. O runtime de integração autoalojado (IR) pode ser configurado na VM IaaS na rede virtual do cliente. O tráfego de rede também é regido pelas definições de NSG e firewall do cliente.
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Associar o runtime de integração do Azure-SSIS a uma rede virtual
Suporte do Grupo de Segurança de Rede
Descrição: o tráfego de rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: o runtime de integração do Azure-SSIS suporta a injeção de rede virtual na rede virtual do cliente. Cumpre todas as regras de NSG e firewall definidas pelo cliente na respetiva rede virtual. Ao criar uma Integration Runtime do Azure-SSIS (IR), pode associá-la a uma rede virtual. Permitirá Azure Data Factory criar determinados recursos de rede, como um NSG e um balanceador de carga. Também pode fornecer o seu próprio endereço IP público estático ou ter Azure Data Factory criar um para si. No NSG criado automaticamente pelo Azure Data Factory, a Porta 3389 está aberta a todo o tráfego por predefinição. Bloqueie a porta para se certificar de que apenas os administradores têm acesso.
O runtime de integração autoalojado (IR) pode ser configurado na VM IaaS na rede virtual do cliente. O tráfego de rede também é regido pelas definições de NSG e firewall do cliente.
Com base nas suas aplicações e na estratégia de segmentação empresarial, restrinja ou permita o tráfego entre recursos internos com base nas regras do NSG. Para aplicações específicas e bem definidas, como uma aplicação de três camadas, pode ser uma negação por predefinição altamente segura.
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Associar o runtime de integração do Azure-SSIS a uma rede virtual
NS-2: Proteger os serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: capacidade de filtragem de IP nativo do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação Adicional: pode configurar pontos finais privados no Azure Data Factory Managed Rede Virtual para ligar a arquivos de dados em privado.
O Data Factory não fornece a capacidade de configurar Rede Virtual pontos finais de serviço.
Quando cria uma Integration Runtime do Azure-SSIS (IR), pode associá-la a uma rede virtual. Permite Azure Data Factory criar determinados recursos de rede, como um NSG e um balanceador de carga. Também pode fornecer o seu próprio endereço IP público estático ou ter Azure Data Factory criar um para si. No NSG criado automaticamente pelo Azure Data Factory, a Porta 3389 está aberta a todo o tráfego por predefinição. Bloqueie a porta para garantir que apenas os administradores têm acesso. Pode implementar Self-Hosted IRs num computador no local ou numa VM do Azure dentro de uma rede virtual. Confirme que a implementação da sub-rede da rede virtual tem um NSG configurado para permitir apenas o acesso administrativo. Azure-SSIS IR não permite a saída da porta 3389 por predefinição na Regra de Firewall do Windows em cada nó de IR para proteção. Pode proteger os recursos configurados pela rede virtual ao associar um NSG à sub-rede e ao definir regras estritas.
Referência: Azure Private Link para Azure Data Factory
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL de IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: a desativação do acesso à rede pública é aplicável apenas a Self-Hosted Integration Runtime (SHIR) e não ao IR do Azure ou ao SSIS IR. Com o SHIR, ativar a fábrica de dados de ligação privada não bloqueia explicitamente o acesso público, mas o cliente pode bloquear o acesso público manualmente.
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Azure Private Link para Azure Data Factory
Gestão de identidades
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.
IM-1: utilizar a identidade centralizada e o sistema de autenticação
Funcionalidades
Azure AD Autenticação Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de Azure AD autenticação para acesso ao plano de dados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: o Data Factory pode autenticar-se nativamente nos serviços e recursos do Azure que suportam Azure AD autenticação.
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Identidade gerida para Azure Data Factory
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: pode utilizar a autenticação do Windows para aceder a origens de dados de pacotes SSIS em execução no Azure-SSIS Integration Runtime (IR). Os arquivos de dados podem estar no local, alojados no Azure Máquinas Virtuais (VMs) ou em execução no Azure como serviços geridos. No entanto, recomendamos evitar a utilização da autenticação local e utilizar Azure AD sempre que possível. Evite a utilização de contas ou métodos de autenticação locais. Estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: por predefinição, ao criar uma fábrica de dados através do portal do Azure ou do PowerShell, a identidade gerida será criada automaticamente. Com o SDK ou a API REST, a identidade gerida só será criada se o utilizador especificar explicitamente a palavra-chave "identidade".
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Identidade gerida para Azure Data Factory e Azure Synapse
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: o Data Factory permite-lhe utilizar identidades geridas, Princípios de Serviço para autenticar em arquivos de dados e computação que suportam a autenticação do AAD.
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
IM-7: Restringir o acesso a recursos com base em condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Acesso Condicional: Aplicações na cloud, ações e contexto de autenticação
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento do Suporte de Segredos e Credenciais de Serviço no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: pode armazenar credenciais para arquivos de dados e cálculos num Key Vault do Azure. O Azure Data Factory obtém as credenciais ao executar uma atividade que utiliza a computação/arquivo de dados.
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Armazenar credenciais no Azure Key Vault
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: Separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-7: Seguir apenas o princípio de administração (privilégio mínimo) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: o Data Factory integra-se com o RBAC do Azure para gerir os respetivos recursos. Com o RBAC, pode gerir o acesso a recursos do Azure através de atribuições de funções. Pode atribuir funções a utilizadores, grupos, principais de serviço e identidades geridas. Determinados recursos têm funções incorporadas predefinidas. Pode inventariar ou consultar estas funções através de ferramentas como a CLI do Azure, Azure PowerShell ou a portal do Azure.
Limite os privilégios que atribui aos recursos através do RBAC do Azure ao que as funções exigem. Esta prática complementa a abordagem just-in-time (JIT) do Azure AD PIM. Reveja funções e atribuições periodicamente.
Utilize funções incorporadas para conceder permissões. Crie apenas funções personalizadas quando necessário.
Pode criar uma função personalizada no Azure AD com acesso mais restritivo ao Data Factory.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Funções e permissões para Azure Data Factory
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Sistema de Proteção de Dados do Cliente pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Sistema de Proteção de Dados do Cliente para o Microsoft Azure
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Ligar o Data Factory ao Microsoft Purview
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Considerações de segurança para o movimento de dados no Azure Data Factory
DP-4: Ativar a encriptação de dados inativos por predefinição
Funcionalidades
Encriptação de Dados Inativos Utilizando Chaves de Plataforma
Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Encriptar Azure Data Factory com chaves geridas pelo cliente
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário
Funcionalidades
Encriptação de Dados Inativos com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Encriptar Azure Data Factory com chaves geridas pelo cliente
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Armazenar credenciais no Azure Key Vault
DP-7: Utilizar um processo de gestão de certificados seguro
Funcionalidades
Gestão de Certificados no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Armazenar credenciais no Azure Key Vault
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: utilize Azure Policy para auditar e restringir os serviços que os utilizadores podem aprovisionar no seu ambiente. Utilize o Azure Resource Graph para consultar e detetar recursos em subscrições. Também pode utilizar o Azure Monitor para criar regras para acionar alertas quando detetarem um serviço não aprovado.
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Azure Policy definições incorporadas para o Data Factory
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender para Oferta de Serviço/Produto
Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: O IR Autoalojado (SHIR) em execução em VMs e contentores do Azure utiliza o Defender para estabelecer a configuração segura.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: os registos de atividades estão disponíveis automaticamente. Pode utilizar os registos de atividades para encontrar erros durante a resolução de problemas ou para monitorizar a forma como os utilizadores na sua organização modificaram os recursos.
Utilize Microsoft Defender para a Cloud e Azure Policy para ativar a recolha de dados de registos e registos de registos.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Definições de diagnóstico no Azure Monitor
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: para fazer uma cópia de segurança de todo o código no Azure Data Factory, utilize a funcionalidade de controlo de origem no Data Factory.
Orientação de Configuração: não existem orientações atuais da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Controlo de origem no Azure Data Factory
Passos seguintes
- Veja a descrição geral da referência de segurança da cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure