Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta linha de base de segurança aplica orientações do benchmark de segurança na nuvem da Microsoft versão 1.0 ao Cache do Azure para Redis. O benchmark de segurança na nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo benchmark de segurança na nuvem da Microsoft e pelas orientações relacionadas aplicáveis ao Cache do Azure para Redis.
Você pode monitorar essa linha de base de segurança e suas recomendações usando o Microsoft Defender for Cloud. As definições de Política do Azure serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando um recurso tem Definições de Política do Azure relevantes, elas são listadas nesta linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de referência de segurança na nuvem da Microsoft. Algumas recomendações podem exigir um plano pago do Microsoft Defender para habilitar determinados cenários de segurança.
Observação
Os recursos não aplicáveis ao Cache Redis do Azure foram excluídos. Para ver como o Cache Redis do Azure é mapeado completamente para o benchmark de segurança na nuvem da Microsoft, consulte o arquivo de mapeamento de linha de base de segurança completo do Cache do Azure para Redis.
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto do Cache do Azure para Redis, o que pode resultar em considerações de segurança maiores.
| Atributo de Comportamento do Serviço | Valor |
|---|---|
| Categoria de Produto | Bases de dados |
| O cliente pode acessar o HOST / OS | Sem Acesso |
| O serviço pode ser implantado na rede virtual do cliente | Verdade |
| Armazena o conteúdo do cliente em estado de repouso | Falso |
Segurança de rede
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Caraterísticas
Integração de Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidade: esta funcionalidade só é suportada com uma instância de Cache do Azure para Redis de nível Premium.
Diretrizes de configuração: implante o serviço em uma rede virtual. Atribua IPs privados ao recurso (quando aplicável), a menos que haja um motivo forte para atribuir IPs públicos diretamente ao recurso.
Referência: Configurar o suporte de rede virtual para uma instância do Cache Premium do Azure para Redis
Suporte ao Grupo de Segurança de Rede
Descrição: O tráfego de rede do serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas sub-redes. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidades: Este recurso só é aplicável para caches injetadas de VNet.
Diretrizes de configuração: use grupos de segurança de rede (NSG) para restringir ou monitorar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gerenciamento sejam acessadas de redes não confiáveis). Lembre-se de que, por padrão, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.
Referência: Configurar o suporte de rede virtual para uma instância do Cache Premium do Azure para Redis
NS-2: Serviços de nuvem seguros com controles de rede
Caraterísticas
Azure Private Link
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com NSG ou Firewall do Azure). Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas da funcionalidade: Esta funcionalidade não é suportada em caches implantadas em VNets clássicas.
Diretrizes de configuração: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado, para estabelecer um ponto de acesso privado para os recursos.
Referência: Cache do Azure para Redis com o Azure Private Link
Desativar o acesso à rede pública
Descrição: O serviço suporta a desativação do acesso à rede pública usando a regra de filtragem de ACL IP de nível de serviço (não NSG ou Firewall do Azure) ou usando uma opção de alternância 'Desabilitar acesso à rede pública'. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Verdade | A Microsoft |
Notas da funcionalidade: Esta funcionalidade não é suportada em caches implantadas em VNets clássicas. O sinalizador publicNetworkAccess está desabilitado por padrão.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Cache do Azure para Redis com o Azure Private Link
Monitoramento do Microsoft Defender for Cloud
Definições internas da Política do Azure - Microsoft.Cache:
| Nome (portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para as instâncias do Azure Cache for Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
Gestão de identidades
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Gerenciamento de identidade.
IM-1: Usar identidade centralizada e sistema de autenticação
Caraterísticas
Autenticação do Azure AD necessária para acesso ao plano de dados
Descrição: O serviço dá suporte ao uso da autenticação do Azure AD para acesso ao plano de dados. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Métodos de autenticação local para acesso ao plano de dados
Descrição: Métodos de autenticação local suportados para acesso ao plano de dados, como um nome de usuário e senha locais. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Verdade | A Microsoft |
Notas de recursos: Evite o uso de métodos ou contas de autenticação local, estes devem ser desativados sempre que possível. Em vez disso, use o Azure AD para autenticar sempre que possível. Nunca desative totalmente a autenticação definindo a AuthNotRequired propriedade como true, pois isso é altamente desencorajado do ponto de vista da segurança e permitiria acesso não autenticado aos seus dados de cache.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida. Verifique se a AuthNotRequired propriedade não está definida como true na configuração do Redis.
Referência: Como configurar o Cache do Azure para Redis, Propriedade RedisCommonConfiguration.AuthNotRequired, API REST Redis - Criar
IM-3: Gerencie identidades de aplicativos de forma segura e automática
Caraterísticas
Identidades gerenciadas
Descrição: As ações do plano de dados suportam autenticação usando identidades gerenciadas. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Principais de Serviço
Descrição: O plano de dados suporta autenticação usando entidades de serviço. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-7: Restringir o acesso a recursos com base em condições
Caraterísticas
Acesso Condicional à Camada de Dados
Descrição: o acesso ao plano de dados pode ser controlado usando as Políticas de Acesso Condicional do Azure AD. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-8: Restringir a exposição de credenciais e segredos
Caraterísticas
Integração e armazenamento de suporte de credenciais e segredos de serviço no Cofre de Chaves do Azure
Descrição: O plano de dados dá suporte ao uso nativo do Cofre de Chaves do Azure para armazenamento de credenciais e segredos. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Acesso privilegiado
Para obter mais informações, consulte o referencial de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: Separe e limite usuários altamente privilegiados/administrativos
Caraterísticas
Contas de administrador local
Descrição: O serviço tem o conceito de conta administrativa local. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-7: Siga o princípio de administração suficiente (menor privilégio)
Caraterísticas
RBAC para o Plano de Dados do Azure
Descrição: O Azure Role-Based Access Control (Azure RBAC) pode ser usado para gerenciar o acesso às ações do plano de dados do serviço. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-8: Determinar o processo de acesso para suporte ao provedor de nuvem
Caraterísticas
Caixa de Bloqueio do Cliente
Descrição: O Customer Lockbox pode ser usado para acesso ao suporte da Microsoft. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Proteção de dados
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Proteção de dados.
DP-1: Descubra, classifique e rotule dados confidenciais
Caraterísticas
Deteção e classificação de dados confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Caraterísticas
Prevenção de Fugas/Perdas de Dados
Descrição: O serviço suporta a solução DLP para monitorar a movimentação de dados confidenciais (no conteúdo do cliente). Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-3: Criptografar dados confidenciais em trânsito
Caraterísticas
Encriptação de Dados em Trânsito
Descrição: O serviço suporta criptografia de dados em trânsito no plano de dados. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Verdade | A Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Como configurar o Cache do Azure para Redis
Monitoramento do Microsoft Defender for Cloud
Definições internas da Política do Azure - Microsoft.Cache:
| Nome (portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Auditar a ativação apenas de conexões via SSL para o Azure Cache for Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditar, Negar, Desativar | 1.0.0 |
DP-4: Habilitar a criptografia de dados em repouso por padrão
Caraterísticas
Criptografia de dados em repouso usando chaves de plataforma
Descrição: A criptografia de dados em repouso usando chaves de plataforma é suportada, qualquer conteúdo de cliente em repouso é criptografado com essas chaves gerenciadas pela Microsoft. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Verdade | A Microsoft |
Notas da funcionalidade: Esta funcionalidade não é suportada em caches implantadas em VNets clássicas.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
DP-5: Use a opção de chave gerenciada pelo cliente na criptografia de dados em repouso quando necessário
Caraterísticas
Criptografia de dados em repouso usando CMK
Descrição: A criptografia de dados em repouso usando chaves gerenciadas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-6: Use um processo seguro de gerenciamento de chaves
Caraterísticas
Gerenciamento de chaves no Cofre de Chaves do Azure
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-7: Use um processo seguro de gerenciamento de certificados
Caraterísticas
Gerenciamento de certificados no Azure Key Vault
Descrição: O serviço dá suporte à integração do Azure Key Vault para qualquer certificado de cliente. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Gestão de ativos
Para obter mais informações, consulte o referencial de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Caraterísticas
Suporte de Política do Azure
Descrição: As configurações de serviço podem ser monitoradas e aplicadas por meio da Política do Azure. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: use o Microsoft Defender for Cloud para configurar a Política do Azure para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detetado nos recursos. Utilize os efeitos da Política do Azure [negar] e [implantar caso não exista] para garantir uma configuração segura nos recursos do Azure.
Referência: Definições incorporadas da Política do Azure para o Azure Cache for Redis
Registo e deteção de ameaças
Para mais informações, consulte o benchmark de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Habilite os recursos de deteção de ameaças
Caraterísticas
Microsoft Defender para Oferta de Serviços e Produtos
Descrição: O serviço tem uma solução Microsoft Defender específica para monitorar e alertar sobre problemas de segurança. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
LT-4: Ativar o registro de logs para investigação de segurança
Caraterísticas
Registos de Recursos do Azure
Descrição: O serviço produz registos de recursos que podem fornecer métricas aperfeiçoadas e registos específicos do serviço. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio destino de dados, como uma conta de armazenamento ou um espaço de trabalho do Log Analytics. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: ative os registos de recursos para o serviço. Por exemplo, o Cofre da Chave dá suporte a logs de recursos adicionais para ações que obtêm um segredo de um cofre de chaves ou e o SQL do Azure tem logs de recursos que rastreiam solicitações para um banco de dados. O conteúdo dos logs de recursos varia de acordo com o serviço do Azure e o tipo de recurso.
Referência: Monitorar o Cache do Azure para dados Redis usando configurações de diagnóstico
Backup e recuperação
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Backup e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Caraterísticas
Azure Backup
Descrição: é possível fazer backup do serviço pelo serviço de Backup do Azure. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Capacidade de backup nativo do serviço
Descrição: O serviço dá suporte a seu próprio recurso de backup nativo (se não estiver usando o Backup do Azure). Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Próximos passos
- Consulte a visão geral do benchmark de segurança na nuvem da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure