Linha de base de segurança do Azure para o Azure Stream Analytics

Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 ao Azure Stream Analytics. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Azure Stream Analytics.

Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.

Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Nota

As funcionalidades não aplicáveis ao Azure Stream Analytics foram excluídas. Para ver como o Azure Stream Analytics mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro de mapeamento completo da linha de base de segurança do Azure Stream Analytics.

Perfil de segurança

O perfil de segurança resume comportamentos de elevado impacto do Azure Stream Analytics, o que pode resultar em considerações de segurança acrescidas.

Atributo comportamento do serviço Valor
Product Category (Categoria de Produto) Análise, IoT
O cliente pode aceder ao HOST/SO Sem Acesso
O serviço pode ser implementado na rede virtual do cliente Falso
Armazena o conteúdo do cliente inativo Falso

Segurança da rede

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Funcionalidades

Integração da Rede Virtual

Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Suporte do Grupo de Segurança de Rede

Descrição: o tráfego de rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

NS-2: Proteger os serviços cloud com controlos de rede

Funcionalidades

Descrição: capacidade de filtragem de IP nativo do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: o Azure Stream Analytics suporta Private Link no SKU Premium.

Orientação de Configuração: implemente pontos finais privados para todos os recursos do Azure que suportam a funcionalidade Private Link, para estabelecer um ponto de acesso privado para os recursos.

Referência: Criar e eliminar pontos finais privados geridos num cluster do Azure Stream Analytics

Desativar o Acesso à Rede Pública

Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL de IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Gestão de identidades

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.

IM-1: utilizar a identidade centralizada e o sistema de autenticação

Funcionalidades

Azure AD Autenticação Necessária para o Acesso ao Plano de Dados

Descrição: o serviço suporta a utilização de Azure AD autenticação para acesso ao plano de dados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como método de autenticação predefinido para controlar o acesso ao plano de dados.

Referência: Rodar credenciais de início de sessão para entradas e saídas de uma Tarefa do Stream Analytics

IM-3: Gerir identidades de aplicações de forma segura e automática

Funcionalidades

Identidades Geridas

Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.

Referência: Identidades geridas para o Azure Stream Analytics

Principais de Serviço

Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação Adicional: para serviços que não suportam identidades geridas, utilize Azure AD para criar um principal de serviço com permissões restritas ao nível do recurso. Recomenda-se configurar principais de serviço com credenciais de certificado e reverter para os segredos do cliente para autenticação.

IM-8: Restringir a exposição de credenciais e segredos

Funcionalidades

Integração e Armazenamento do Suporte de Segredos e Credenciais de Serviço no Azure Key Vault

Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Acesso privilegiado

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.

PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud

Funcionalidades

Sistema de Proteção de Dados do Cliente

Descrição: o Sistema de Proteção de Dados do Cliente pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Proteção de dados

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.

DP-1: Detetar, classificar e etiquetar dados confidenciais

Funcionalidades

Deteção e Classificação de Dados Confidenciais

Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais

Funcionalidades

Fuga de Dados/Prevenção de Perda

Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Notas de funcionalidades: o Azure Stream Analytics não suporta a Prevenção de Fugas/Perdas de Dados. No entanto, existem políticas incorporadas que podem ser aproveitadas para impedir o acesso não autorizado a dados.

Para obter mais informações, visite: Azure Policy definições incorporadas do Azure Stream Analytics.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-3: Encriptar dados confidenciais em trânsito

Funcionalidades

Dados na Encriptação de Trânsito

Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Bem-vindo ao Azure Stream Analytics

DP-4: Ativar a encriptação de dados inativos por predefinição

Funcionalidades

Encriptação de Dados Inativos Utilizando Chaves de Plataforma

Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Proteção de dados no Azure Stream Analytics

DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário

Funcionalidades

Encriptação de Dados Inativos com CMK

Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente a encriptação de dados inativos com a chave gerida pelo cliente para esses serviços.

Referência: Proteção de dados no Azure Stream Analytics

DP-6: Utilizar um processo de gestão de chaves segura

Funcionalidades

Gestão de Chaves no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Notas de funcionalidades: o Azure Stream Analytics não se integra diretamente com o Azure Key Vault. O Azure Key Vault pode ser utilizado indiretamente se o cliente quiser utilizar chaves geridas pelo cliente para encriptar recursos de dados privados exigidos pelo runtime do Stream Analytics através da utilização de uma conta de armazenamento.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-7: Utilizar um processo de gestão de certificados seguro

Funcionalidades

Gestão de Certificados no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Gestão de ativos

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.

AM-2: Utilizar apenas serviços aprovados

Funcionalidades

Suporte do Azure Policy

Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize o Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura nos recursos do Azure.

Referência: Azure Policy definições incorporadas para o Azure Stream Analytics

Deteção de registo e de ameaça

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.

LT-1: Ativar as capacidades de deteção de ameaças

Funcionalidades

Microsoft Defender para Oferta de Serviço/Produto

Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

LT-4: Ativar o registo para investigação de segurança

Funcionalidades

Registos de Recursos do Azure

Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: ative os registos de recursos para o serviço. Por exemplo, Key Vault suporta registos de recursos adicionais para ações que obtêm um segredo a partir de um cofre de chaves ou e SQL do Azure tem registos de recursos que controlam os pedidos para uma base de dados. O conteúdo dos registos de recursos varia de acordo com o tipo de serviço e recurso do Azure.

Referência: Resolver problemas do Azure Stream Analytics com registos de recursos

Cópia de segurança e recuperação

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.

BR-1: Garantir cópias de segurança automatizadas regulares

Funcionalidades

Azure Backup

Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Capacidade de Cópia de Segurança Nativa do Serviço

Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.

Referência: Copie, faça uma cópia de segurança e mova as tarefas do Azure Stream Analytics entre regiões

Passos seguintes