Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi Azure Cache for Redis. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest grupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft i powiązane wskazówki dotyczące usługi Azure Cache for Redis.
Ten punkt odniesienia zabezpieczeń i jego zalecenia można monitorować przy użyciu usługi Microsoft Defender for Cloud. Definicje usługi Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu usługi Microsoft Defender for Cloud.
Jeśli funkcja ma odpowiednie definicje usługi Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacji testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Uwaga / Notatka
Funkcje , które nie mają zastosowania do usługi Azure Cache for Redis, zostały wykluczone. Aby zobaczyć, jak usługa Azure Cache for Redis całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Cache for Redis.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę Azure Cache for Redis, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania serwisu | Wartość |
|---|---|
| Kategoria produktu | Baz danych |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje dane klienta w stanie spoczynku | Nieprawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej sieci wirtualnej klienta. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Uwagi dotyczące funkcji: ta funkcja jest obsługiwana tylko w przypadku wystąpienia usługi Azure Cache for Redis w warstwie Premium.
Wskazówki dotyczące konfiguracji: wdrażanie usługi w sieci wirtualnej. Przypisz prywatne adresy IP do zasobu (jeśli ma to zastosowanie), chyba że istnieje silny powód, aby przypisać publiczne adresy IP bezpośrednio do zasobu.
Referencja: Konfigurowanie obsługi sieci wirtualnej dla wystąpienia usługi Premium Azure Cache for Redis
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi przestrzega reguł przypisanych przez Grupy Zabezpieczeń Sieci w swoich podsieciach. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Uwagi dotyczące funkcji: Ta funkcja ma zastosowanie tylko w przypadku wstrzykiwanych pamięci podręcznych sieci VNet.
Wskazówki dotyczące konfiguracji: Użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły NSG, aby ograniczyć dostęp do otwartych portów Twojej usługi (np. uniemożliwiając dostęp do portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie grupy zabezpieczeń sieciowych odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i z Azure Load Balancers.
Referencja: Konfigurowanie obsługi sieci wirtualnej dla wystąpienia usługi Premium Azure Cache for Redis
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Link prywatny platformy Azure
Opis: Natywna funkcja filtrowania adresów IP dla usługi filtrującej ruch sieciowy (nie należy mylić z NSG ani usługą Azure Firewall). Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Uwagi dotyczące funkcji: ta funkcja nie jest obsługiwana w pamięciach podręcznych wdrożonych w klasycznych sieciach wirtualnych.
Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure obsługujących funkcję usługi Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów.
Dokumentacja: Usługa Azure Cache for Redis z usługą Azure Private Link
Wyłączanie dostępu do sieci publicznej
Opis: Usługa umożliwia wyłączenie dostępu do sieci publicznej poprzez zastosowanie reguły filtrowania ACL dla adresów IP na poziomie usługi (nie NSG ani Azure Firewall) lub poprzez użycie przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: ta funkcja nie jest obsługiwana w pamięciach podręcznych wdrożonych w klasycznych sieciach wirtualnych. Flaga publicNetworkAccess jest domyślnie wyłączona.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Usługa Azure Cache for Redis z usługą Azure Private Link
Monitorowanie usługi Microsoft Defender for Cloud
Wbudowane definicje usługi Azure Policy — Microsoft.Cache:
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Zarządzanie tożsamościami.
IM-1: Użyj scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie usługi Azure AD wymagane na potrzeby dostępu do płaszczyzny danych
Opis: Usługa obsługuje korzystanie z uwierzytelniania usługi Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Lokalne metody uwierzytelniania na potrzeby dostępu do warstwy danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: unikaj używania lokalnych metod uwierzytelniania lub kont. Powinny one być wyłączone wszędzie tam, gdzie to możliwe. Zamiast tego użyj usługi Azure AD, aby uwierzytelnić się tam, gdzie to możliwe. Nigdy nie wyłączaj uwierzytelniania całkowicie, ustawiając AuthNotRequired właściwość na true, ponieważ jest to zdecydowanie niezalecane z punktu widzenia zabezpieczeń i zezwala na nieuwierzytelniony dostęp do danych pamięci podręcznej.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego. Upewnij się, że parametr AuthNotRequired nie ma wartości true w konfiguracji Redis.
Dokumentacja: Jak skonfigurować usługę Azure Cache for Redis, RedisCommonConfiguration.AuthNotRequired Property, interfejs API REST usługi Redis — Utwórz
IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
System zarządzania tożsamościami
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Podmioty usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu pryncypałów serwisowych. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
IM-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu zasad dostępu warunkowego usługi Azure AD. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
IM-8: Ogranicz ujawnianie poświadczeń i tajemnic
Funkcje
Poświadczenia usługi i tajne dane wspierają integrację oraz przechowywanie w Azure Key Vault.
Opis: Warstwa danych obsługuje natywne używanie usługi Azure Key Vault do przechowywania poświadczeń i tajnych informacji. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Konta administratora lokalnego
Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-7: Przestrzegaj zasady minimalnej administracji (najmniejszych uprawnień)
Funkcje
Mechanizm kontroli dostępu oparty na rolach (RBAC) w Azure dla płaszczyzny danych
Opis: Kontrola dostępu Azure Role-Based (Azure RBAC) może być używana do zarządzania dostępem do operacji płaszczyzny danych usługi. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrzynka bezpieczeństwa klienta
Opis: Customer Lockbox może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Ochrona danych
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-2: Monitorowanie anomalii i zagrożeń skierowanych na poufne dane
Funkcje
Wyciek danych/zapobieganie utracie danych
Opis: Ta usługa obsługuje rozwiązanie DLP, które monitoruje ruch poufnych danych w treściach klienta. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych podczas przesyłania
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa zapewnia szyfrowanie danych w ruchu dla warstwy danych. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Jak skonfigurować usługę Azure Cache for Redis
Monitorowanie usługi Microsoft Defender for Cloud
Wbudowane definicje usługi Azure Policy — Microsoft.Cache:
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Audyt włączania tylko połączeń SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych w spoczynku przy użyciu kluczy platformowych
Opis: Obsługiwane jest szyfrowanie danych w stanie spoczynku przy użyciu kluczy platformy; wszelkie dane klientów w stanie spoczynku są szyfrowane przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: ta funkcja nie jest obsługiwana w pamięciach podręcznych wdrożonych w klasycznych sieciach wirtualnych.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
DP-5: Użyj opcji klucza zarządzanego przez klienta podczas szyfrowania danych w stanie spoczynku, jeśli jest to wymagane
Funkcje
Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta (CMK)
Opis: Szyfrowanie danych w stanie spoczynku za pomocą kluczy zarządzanych przez klienta jest obsługiwane dla treści klienta przechowywanej przez usługę. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-6: Używanie bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację z Azure Key Vault dla dowolnych kluczy, sekretów lub certyfikatów klienta. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-7: Używanie bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem usługi Azure Policy. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji: Użyj Microsoft Defender for Cloud do skonfigurowania Azure Policy w celu audytu i wymuszania konfiguracji zasobów platformy Azure. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów. Użyj efektów Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację zasobów w Azure.
Dokumentacja: Wbudowane definicje usługi Azure Policy dla usługi Azure Cache for Redis
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Microsoft Defender dla usługi/oferty produktowej
Opis: Usługa posiada rozwiązanie Microsoft Defender specyficzne dla oferty, które monitoruje i zgłasza alerty dotyczące problemów z zabezpieczeniami. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
LT-4: Włącz rejestrowanie na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić ulepszone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego źródła danych, takiego jak konto przechowywania lub obszar roboczy usługi Log Analytics. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji : Włącz dzienniki zasobów dla usługi. Na przykład usługa Key Vault obsługuje dodatkowe dzienniki zasobów dla akcji, które pobierają tajemnicę z magazynu kluczy, natomiast usługa Azure SQL ma dzienniki zasobów, które śledzą żądania do bazy danych. Zawartość dzienników zasobów różni się w zależności od usługi platformy Azure i typu zasobu.
Dokumentacja: Monitorowanie danych usługi Azure Cache for Redis przy użyciu ustawień diagnostycznych
Kopia zapasowa i przywracanie
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Możliwość tworzenia natywnych kopii zapasowych usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie korzystasz z usługi Azure Backup). Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.