Поддержка и предварительные требования для управления безопасностью данных

  • Статья

Просмотрите требования на этой странице перед настройкой управления безопасностью данных в Microsoft Defender для облака.

Включение обнаружения конфиденциальных данных

Обнаружение конфиденциальных данных доступно в планах CSPM Defender для хранилища и Defender для баз данных.

  • При включении одного из планов расширение обнаружения конфиденциальных данных включается в рамках плана.
  • Если у вас есть существующие планы, расширение доступно, но по умолчанию отключено.
  • Существующее состояние плана отображается как "Частичное", а не "Полный", если один или несколько расширений не включены.
  • Эта функция включена на уровне подписки.
  • Если обнаружение конфиденциальных данных включено, но CSPM Defender не включен, сканируются только ресурсы хранилища.
  • Если подписка включена в CSPM Defender и параллельно сканировала те же ресурсы с помощью Purview, результат сканирования Purview игнорируется и по умолчанию отображает результаты сканирования Microsoft Defender для облака для поддерживаемого типа ресурса.

Что поддерживается

В таблице приведены сведения о доступности и поддерживаемых сценариях обнаружения конфиденциальных данных.

Поддержка Сведения
Какие ресурсы данных Azure можно обнаружить? Хранилище объектов:

Блочные учетные записи хранения BLOB-объектов в служба хранилища Azure версии 1/v2

Azure Data Lake Storage 2-го поколения

Поддерживаются учетные записи хранения за частными сетями.

Поддерживаются учетные записи хранения, зашифрованные с помощью ключа на стороне сервера, управляемого клиентом.

Учетные записи не поддерживаются, если конечная точка учетной записи хранения имеет личный домен, сопоставленный с ним.


Базы данных

База данных SQL Azure

База данных SQL Azure зашифровано с помощью Прозрачное шифрование данных
Какие ресурсы данных AWS можно обнаружить? Хранилище объектов:

контейнеры AWS S3;

Defender для облака может обнаруживать зашифрованные KMS данные, но не зашифрованные с помощью ключа, управляемого клиентом.

Базы данных

- Amazon Аврора
— Amazon RDS для PostgreSQL
— Amazon RDS для MySQL
— Amazon RDS для MariaDB
— Amazon RDS для SQL Server (noncustom)
— Amazon RDS для базы данных Oracle (только для se2 Edition)

Предварительные требования и ограничения:
— Необходимо включить автоматические резервные копии.
— Роль IAM, созданная для целей сканирования (DefenderForCloud-DataSecurityPostureDB по умолчанию), должна иметь разрешения на ключ KMS, используемый для шифрования экземпляра RDS.
— Вы не можете совместно использовать моментальный снимок базы данных, использующий группу параметров с постоянными или постоянными параметрами, за исключением экземпляров Базы данных Oracle, имеющих параметр Timezone или OLS (или оба). Подробнее
Какие ресурсы данных GCP можно обнаружить? Контейнеры хранилища GCP
Стандартный класс
Географическое расположение: регион, двойной регион, многорегиональное
Какие разрешения требуются для обнаружения? Учетная запись хранения: владелец подписки
or
Microsoft.Authorization/roleAssignments/*(чтение, запись, удаление) и Microsoft.Security/pricings/* (чтение, запись, удаление) и Microsoft.Security/pricings/SecurityOperators (чтение, запись)

Контейнеры Amazon S3 и экземпляры RDS: разрешение учетной записи AWS для запуска облачного формирования (для создания роли).

Контейнеры хранилища GCP: разрешение учетной записи Google для запуска скрипта (для создания роли).
Какие типы файлов поддерживаются для обнаружения конфиденциальных данных? Поддерживаемые типы файлов (вы не можете выбрать подмножество) — .doc, DOCM, .docx, .dot, .gz, ODP, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, Ssv, .tsv, .txt., xml, .parquet, .avro, orc.
Какие регионы Azure поддерживаются? Вы можете обнаружить учетные записи хранения Azure в:

Восточная Азия; Юго-Восточная Азия; Центральная Австралия; Центральная Австралия 2; Восточная Австралия; Восточная Австралия; Южная Бразилия; Юго-Восточная Бразилия; Центральная Канада; Восточная Канада; Европа Северная; Западная Европа; Центральная Франция; Южная Франция; Северная Германия; Западная Германия; Центральная Индия; Южная Индия; Восточная Япония; Западная Япония; Jio India West; Центральная Корея; Южная Корея; Восточная Норвегия; Западная Норвегия; Северная Африка; Западная Африка; Центральная Швеция; Северная Швейцария; Западная Швейцария; Север ОАЭ; Южная Часть Великобритании; Западная часть Великобритании; Центральная часть США; Восточная часть США; Восточная часть США 2; Центральная часть США; Центральная часть США; Западная часть США; Западная часть США 2; Западная часть США 3; Центрально-западная часть США;

Вы можете обнаружить База данных SQL Azure в любом регионе, где поддерживаются CSPM Defender и База данных SQL Azure.
Какие регионы AWS поддерживаются? S3:

Азиатско-Тихоокеанский регион (Мумбаи); Азиатско-Тихоокеанский регион (Сингапур); Азиатско-Тихоокеанский регион (Сидней); Азиатско-Тихоокеанский регион (Токио); Канада (Монреаль); Европа (Франкфурт); Европа (Ирландия); Европа (Лондон); Европа (Париж); Европа (Стокгольм); Южная Америка (Сан-Паулу); Восточная часть США (Огайо); Восточная часть США (Штат Вирджиния); ЗападНАЯ часть США (Штат Калифорния): Западная часть США (Орегон).


RDS.

Африка (Кейптаун); Азиатско-Тихоокеанский регион (Гонконг САР); Азиатско-Тихоокеанский регион (Хайдерабад); Азиатско-Тихоокеанский регион (Мельбурн); Азиатско-Тихоокеанский регион (Мумбаи); Азиатско-Тихоокеанский регион (Осака); Азиатско-Тихоокеанский регион (Сеул); Азиатско-Тихоокеанский регион (Сингапур); Азиатско-Тихоокеанский регион (Сидней); Азиатско-Тихоокеанский регион (Токио); Канада (центральная часть); Европа (Франкфурт); Европа (Ирландия); Европа (Лондон); Европа (Париж); Европа (Стокгольм); Европа (Цюрих); Ближний Восток (ОАЭ); Южная Америка (Сан-Паулу); Восточная часть США (Огайо); Восточная часть США (Штат Вирджиния); ЗападНАЯ часть США (Штат Калифорния): Западная часть США (Орегон).

Обнаружение выполняется локально в пределах региона.
Какие регионы GCP поддерживаются? europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-east11
Нужно ли установить агент? Нет, обнаружение не требует установки агента.
Какова стоимость? Эта функция включается в планы CSPM Defender и Defender для хранения и не несет дополнительных затрат за исключением соответствующих расходов на план.
Какие разрешения требуются для просмотра и изменения параметров конфиденциальности данных? Вам нужна одна из следующих ролей Microsoft Entra:
  • Администратор данных соответствия требованиям, администратор соответствия требованиям или более поздней версии
  • Оператор безопасности, администратор безопасности или более поздней версии
    		•
    Какие разрешения необходимо выполнить при подключении? Вам потребуется одна из этих ролей Управления доступом на основе ролей Azure (Azure RBAC): администратор безопасности, участник, владелец на уровне подписки (где находится проект GCP). Для использования результатов безопасности: читатель безопасности, администратор безопасности, читатель, участник, владелец на уровне подписки (где находится проект или s GCP).

    Настройка параметров конфиденциальности данных

    Ниже приведены основные действия по настройке параметров конфиденциальности данных.

    Дополнительные сведения о метках конфиденциальности в Microsoft Purview.

    Обнаружение

    Defender для облака начинает обнаруживать данные сразу после включения плана или после включения функции в планах, которые уже запущены.

    Для хранилища объектов:

    • Чтобы просмотреть результаты для первого обнаружения, потребуется до 24 часов.
    • После обновления файлов в обнаруженных ресурсах данные обновляются в течение восьми дней.
    • Новая учетная запись хранения Azure, добавленная в уже обнаруженную подписку, обнаруживается в течение 24 часов или меньше.
    • Новый контейнер AWS S3 или контейнер хранилища GCP, добавленный в уже обнаруженную учетную запись AWS или учетную запись Google, обнаруживается в течение 48 часов или меньше.
    • Обнаружение конфиденциальных данных для хранилища проводится локально в вашем регионе. Это гарантирует, что данные не покидают регион. В Defender для облака передаются только метаданные ресурсов, такие как файлы, большие двоичные объекты, имена контейнеров, обнаруженные метки конфиденциальности, а также имена определенных типов конфиденциальной информации (SIT).

    Для баз данных:

    • Базы данных сканируются еженедельно.
    • Для недавно включенных подписок результаты отображаются в течение 24 часов.

    Обнаружение и сканирование учетных записей хранения Azure

    Чтобы проверить учетные записи хранения Azure, Microsoft Defender для облака создает новый storageDataScanner ресурс и назначает ей роль чтения данных BLOB-объектов хранилища. Эта роль предоставляет следующие разрешения:

    • List
    • Читать

    Для учетных записей хранения за частными сетями мы включаем StorageDataScanner список разрешенных экземпляров ресурсов в конфигурации сетевых правил учетной записи хранения.

    Обнаружение и сканирование контейнеров AWS S3

    Чтобы защитить ресурсы AWS в Defender для облака, вы настроили соединитель AWS с помощью шаблона CloudFormation для подключения учетной записи AWS.

    • Чтобы обнаружить ресурсы данных AWS, Defender для облака обновляет шаблон CloudFormation.
    • Шаблон CloudFormation создает новую роль в AWS IAM, чтобы разрешить сканеру Defender для облака доступ к данным в контейнерах S3.
    • Чтобы подключить учетные записи AWS, вам потребуются разрешения администратора в учетной записи.
    • Роль разрешает следующие разрешения: только для чтения S3; Расшифровка KMS.

    Обнаружение и сканирование экземпляров AWS RDS

    Чтобы защитить ресурсы AWS в Defender для облака, настройте соединитель AWS с помощью шаблона CloudFormation для подключения учетной записи AWS.

    • Чтобы обнаружить экземпляры AWS RDS, Defender для облака обновляет шаблон CloudFormation.
    • Шаблон CloudFormation создает новую роль в AWS IAM, чтобы разрешить сканеру Defender для облака использовать последний доступный автоматический моментальный снимок экземпляра и включить его в изолированную среду сканирования в одном регионе AWS.
    • Чтобы подключить учетные записи AWS, вам потребуются разрешения администратора в учетной записи.
    • Автоматические моментальные снимки необходимо включить в соответствующих экземплярах или кластерах RDS.
    • Роль разрешает эти разрешения (просмотрите шаблон CloudFormation для точных определений):
      • Список всех DBS/кластеров RDS
      • Копирование всех моментальных снимков базы данных и кластера
      • Удаление и обновление моментального снимка базы данных или кластера с префиксом Defenderfordatabases
      • Вывод списка всех ключей KMS
      • Использование всех ключей KMS только для RDS в исходной учетной записи
      • Создание и полное управление всеми ключами KMS с префиксом DefenderForDatabases
      • Создание псевдонима для ключей KMS
    • Ключи KMS создаются один раз для каждого региона, содержащего экземпляры RDS. Создание ключа KMS может привести к минимальной дополнительной стоимости в соответствии с ценами НА AWS KMS.

    Обнаружение и сканирование контейнеров хранилища GCP

    Чтобы защитить ресурсы GCP в Defender для облака, можно настроить соединитель Google с помощью шаблона скрипта для подключения учетной записи GCP.

    • Чтобы обнаружить контейнеры хранилища GCP, Defender для облака обновляет шаблон скрипта.
    • Шаблон скрипта создает новую роль в учетной записи Google, чтобы разрешить сканеру Defender для облака доступ к данным в контейнерах хранилища GCP.
    • Чтобы подключить учетные записи Google, вам потребуются разрешения администратора для учетной записи.

    Доступ к Интернету или доступ к общедоступному доступу

    Пути атаки в Защитнике CSPM и аналитика графа облачной безопасности включают сведения о ресурсах хранилища, которые предоставляются в Интернете и разрешают общедоступный доступ. Дополнительные сведения см. в следующей таблице.

    Штат Учетные записи хранения Azure Контейнеры AWS S3 Контейнеры хранилища GCP
    Доступ к Интернету Учетная запись хранения Azure считается доступной в Интернете, если включено одно из этих параметров:

    >Storage_account_name доступ к>общедоступной>сети включен из всех сетей

    or

    >Storage_account_name Сетевой>общедоступный сетевой доступ>Enable из выбранных виртуальных сетей и IP-адресов.    		 Контейнер AWS S3 считается открытым в Интернете, если политики контейнеров AWS или AWS S3 не имеют условия для IP-адресов. По умолчанию все контейнеры хранилища GCP предоставляются в Интернете.
    Разрешает общедоступный доступ Контейнер учетной записи хранения Azure считается разрешением общедоступного доступа, если эти параметры включены в учетной записи хранения:

    Storage_account_name настройка>разрешить анонимный доступ к BLOB-объектам>.>

    и любой из этих параметров:

    >Storage_account_name Контейнеры> container_name> уровне общедоступного доступа, равные BLOB-объектам (анонимный доступ для чтения только для БОЛЬШИХ двоичных объектов)

    Кроме того, storage_account_name >контейнеры> container_name> уровне общедоступного доступа для контейнера (анонимный доступ на чтение для контейнеров и BLOB-объектов)).    		 Контейнер AWS S3 считается разрешенным общедоступным доступом, если учетная запись AWS и контейнер AWS S3 блокируют все общедоступные доступы, а любой из этих параметров задан:

    В политике параметр RestrictPublicBuckets не включен, а параметр "Субъект " имеет значение *, а "Эффект " имеет значение Allow.

    Кроме того, в списке управления доступом параметр IgnorePublicAcl не включен, а разрешение разрешено для всех пользователей или для пользователей, прошедших проверку подлинности.    		 Контейнер хранилища GCP считается разрешенным общедоступным доступом, если у него есть роль IAM (управление удостоверениями и доступом), которая соответствует следующим критериям:

    Роль предоставляется субъекту allUsers или allAuthenticatedUsers.

    Роль имеет по крайней мере одно разрешение на хранение, которое не является storage.buckets.create или storage.buckets.list. Общедоступный доступ в GCP называется общедоступным в Интернете.

    Ресурсы базы данных не разрешают общедоступный доступ, но по-прежнему могут предоставляться в Интернете.

    Аналитические сведения об интернет-экспозиции доступны для следующих ресурсов:

    Azure:

    • Сервер SQL Server Azure
    • Azure Cosmos DB
    • Управляемый экземпляр SQL Azure
    • Отдельный сервер Azure MySQL
    • Гибкий сервер Azure MySQL
    • Отдельный сервер Azure PostgreSQL
    • Гибкий сервер Azure PostgreSQL
    • Отдельный сервер Azure MariaDB
    • Рабочая область Synapse

    AWS:

    • Экземпляр RDS

    Примечание.

    • Правила воздействия, включающие 0.0.0.0/0, считаются "чрезмерно предоставляемыми", то есть они могут быть доступны с любого общедоступного IP-адреса.
    • Ресурсы Azure с правилом экспозиции "0.0.0.0.0" доступны из любого ресурса в Azure (независимо от клиента или подписки).

    Следующий шаг

    Включите управление состоянием безопасности данных.