Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta linha de base de segurança aplica as orientações do benchmark de segurança na nuvem da Microsoft versão 1.0 ao Data Factory. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo benchmark de segurança na nuvem da Microsoft e pelas orientações relacionadas aplicáveis ao Data Factory.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
Os recursos não aplicáveis ao Data Factory foram excluídos. Para ver como o Data Factory se alinha totalmente com o benchmark de segurança na nuvem da Microsoft, consulte o arquivo completo de mapeamento de linha de base de segurança do Data Factory.
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto do Data Factory, o que pode resultar em maiores considerações de segurança.
| Atributo comportamento do serviço | Valor |
|---|---|
| Categoria do Produto | Análise, Integração |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | Verdade |
| Armazena o conteúdo do cliente inativo | Verdade |
Segurança da rede
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: O serviço suporta a implantação na rede virtual privada (VNet) do cliente. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidades: Azure-SSIS o runtime de integração suporta a injeção de rede virtual na rede virtual do cliente. Ao criar um IR (Integration Runtime) do Azure-SSIS, você pode associá-lo a uma rede virtual. Ele permitirá que o Azure Data Factory crie determinados recursos de rede, como um NSG e um balanceador de carga. Você também pode fornecer seu próprio endereço IP público estático ou fazer com que o Azure Data Factory crie um para você. O tempo de execução de integração (IR) auto-hospedado pode ser configurado em VM IaaS dentro da rede virtual do cliente. O tráfego de rede também é regido pelas configurações de NSG e firewall do cliente.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Associe o tempo de execução da integração Azure-SSIS a uma rede virtual
Suporte ao Grupo de Segurança de Rede
Descrição: O tráfego de rede de serviço respeita a atribuição de regras de Grupos de Segurança de Rede em as suas sub-redes. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidades: Azure-SSIS o runtime de integração suporta a injeção de rede virtual na rede virtual do cliente. Ele cumpre todas as regras de NSG e firewall definidas pelo cliente em sua rede virtual. Ao criar um IR (Integration Runtime) do Azure-SSIS, você pode associá-lo a uma rede virtual. Ele permitirá que o Azure Data Factory crie determinados recursos de rede, como um NSG e um balanceador de carga. Você também pode fornecer seu próprio endereço IP público estático ou fazer com que o Azure Data Factory crie um para você. No NSG criado automaticamente pelo Azure Data Factory, a porta 3389 está aberta a todo o tráfego por padrão. Bloqueie a porta para se certificar de que apenas os administradores têm acesso.
O tempo de execução de integração (IR) auto-hospedado pode ser configurado em VM IaaS dentro da rede virtual do cliente. O tráfego de rede também é regido pelas configurações de NSG e firewall do cliente.
Com base em seus aplicativos e estratégia de segmentação empresarial, restrinja ou permita o tráfego entre recursos internos com base em suas regras NSG. Para aplicativos específicos e bem definidos, como um aplicativo de três camadas, ele pode ser uma negação altamente segura por padrão.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Associe o tempo de execução da integração Azure-SSIS a uma rede virtual
NS-2: Proteger serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com NSG ou Firewall do Azure). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação adicional: Pode configurar pontos de extremidade privados na Rede Virtual Gerida do Azure Data Factory para se conectar aos armazenamentos de dados de forma confidencial.
O Data Factory não fornece a capacidade de configurar pontos de extremidade de serviço de Rede Virtual.
Ao criar um IR (Integration Runtime) do Azure-SSIS, você pode associá-lo a uma rede virtual. Ele permite que o Azure Data Factory crie determinados recursos de rede, como um NSG e um balanceador de carga. Você também pode fornecer seu próprio endereço IP público estático ou fazer com que o Azure Data Factory crie um para você. No NSG criado automaticamente pelo Azure Data Factory, a porta 3389 está aberta a todo o tráfego por padrão. Bloqueie a porta para garantir que apenas os administradores tenham acesso. Você pode implantar IRs auto-hospedados em uma máquina local ou VM do Azure dentro de uma rede virtual. Verifique se a implantação da sub-rede de rede virtual tem um NSG configurado para permitir apenas acesso administrativo. O IR do Azure-SSIS não permite a saída da porta 3389 por padrão na Regra do Firewall do Windows em cada nó de IR para proteção. Você pode proteger seus recursos configurados na rede virtual associando um NSG à sub-rede e definindo regras rígidas.
Referência: Azure Private Link for Azure Data Factory
Desativar o Acesso à Rede Pública
Descrição: O serviço suporta a desativação do acesso à rede pública usando a regra de filtragem de ACL IP de nível de serviço (não NSG ou Firewall do Azure) ou usando uma opção de alternância 'Desabilitar acesso à rede pública'. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidade: A desativação do acesso à rede pública é aplicável apenas ao Self-Hosted Integration Runtime (SHIR) e não ao Azure IR ou SSIS IR. Com o SHIR, a ativação do data factory de link privado não bloqueia explicitamente o acesso público, mas o cliente pode bloquear o acesso público manualmente.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Azure Private Link for Azure Data Factory
Gestão de identidades
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Gerenciamento de identidade.
IM-1: utilizar o sistema de autenticação e identidade centralizado
Funcionalidades
Autenticação Azure AD Necessária para o Acesso ao Plano de Dados
Descrição: O serviço dá suporte ao uso da autenticação do Azure AD para acesso ao plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidade: o Data Factory pode autenticar-se nativamente nos serviços e recursos do Azure que suportam a autenticação do Azure AD.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Identidade gerenciada para o Azure Data Factory
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: Métodos de autenticação local suportados para acesso ao plano de dados, como um nome de usuário e senha locais. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de recurso: Você pode usar a autenticação do Windows para acessar fontes de dados de pacotes SSIS em execução no Azure-SSIS Integration Runtime (IR). Seus armazenamentos de dados podem ser locais, hospedados em Máquinas Virtuais (VMs) do Azure ou executados no Azure como serviços gerenciados. No entanto, recomendamos evitar o uso da autenticação local e usar o Azure AD sempre que possível. Evite o uso de métodos ou contas de autenticação local, estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: As ações do plano de dados suportam autenticação usando identidades gerenciadas. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidade: por predefinição, ao criar data factory através do portal do Azure ou do PowerShell, a identidade gerida será criada automaticamente. Usando SDK ou API REST, a identidade gerenciada será criada somente se o usuário especificar a palavra-chave "identity" explicitamente.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Identidade gerenciada para o Azure Data Factory e o Azure Synapse
Principais de Serviço
Descrição: O plano de dados suporta autenticação usando entidades de serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas sobre funcionalidades: O Data Factory permite a utilização de identidades geridas e princípios de serviço para autenticar em armazenamentos de dados e em computações que ofereçam suporte à autenticação AAD.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado usando as Políticas de Acesso Condicional do Azure AD. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Acesso condicional: aplicativos na nuvem, ações e contexto de autenticação
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: O plano de dados dá suporte ao uso nativo do Cofre de Chaves do Azure para armazenamento de credenciais e segredos. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidade: pode armazenar credenciais para armazenamentos de dados e cálculos num Cofre de Chaves do Azure. O Azure Data Factory obtém as credenciais ao executar uma atividade que utiliza a computação/arquivo de dados.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Armazenar credenciais no Azure Key Vault
Acesso privilegiado
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: O serviço tem o conceito de conta administrativa local. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: Este recurso não é suportado para proteger este serviço.
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: O Azure Role-Based Access Control (Azure RBAC) pode ser usado para gerenciar o acesso às ações do plano de dados do serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Verdade | A Microsoft |
Notas de funcionalidade: o Data Factory integra-se com o Azure RBAC para gerir os seus recursos. Com o RBAC, você gerencia o acesso a recursos do Azure por meio de atribuições de função. Você pode atribuir funções a usuários, grupos, entidades de serviço e identidades gerenciadas. Certos recursos têm funções internas pré-definidas. Você pode inventariar ou consultar essas funções por meio de ferramentas como a CLI do Azure, o Azure PowerShell ou o portal do Azure.
Limite os privilégios atribuídos aos recursos por meio do RBAC do Azure ao que as funções exigem. Essa prática complementa a abordagem just-in-time (JIT) do Azure AD PIM. Revise funções e atribuições periodicamente.
Use funções internas para conceder permissões. Crie funções personalizadas apenas quando necessário.
Você pode criar uma função personalizada no Azure AD com acesso mais restritivo ao Data Factory.
Diretrizes de configuração: Nenhuma configuração adicional é necessária, pois isso é habilitado em uma implantação padrão.
Referência: Funções e permissões para o Azure Data Factory
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: O Customer Lockbox pode ser usado para acesso ao suporte da Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Customer Lockbox for Microsoft Azure
Proteção de dados
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: Ferramentas (como o Azure Purview ou a Proteção de Informações do Azure) podem ser usadas para descoberta e classificação de dados no serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Conectar o Data Factory ao Microsoft Purview
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: O serviço suporta a solução DLP para monitorar a movimentação de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: Este recurso não é suportado para proteger este serviço.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: O serviço suporta criptografia de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Verdade | A Microsoft |
Diretrizes de configuração: Nenhuma configuração adicional é necessária, pois isso é habilitado em uma implantação padrão.
Referência: Considerações de segurança para movimentação de dados no Azure Data Factory
DP-4: Ativar a encriptação de dados inativos por predefinição
Funcionalidades
Encriptação de Dados Inativos Utilizando Chaves de Plataforma
Descrição: A criptografia de dados em repouso usando chaves de plataforma é suportada, qualquer conteúdo de cliente em repouso é criptografado com essas chaves gerenciadas pela Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Verdade | A Microsoft |
Diretrizes de configuração: Nenhuma configuração adicional é necessária, pois isso é habilitado em uma implantação padrão.
Referência: Criptografar o Azure Data Factory com chaves gerenciadas pelo cliente
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário
Funcionalidades
Encriptação de Dados Inativos com CMK
Descrição: A criptografia de dados em repouso usando chaves gerenciadas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Criptografar o Azure Data Factory com chaves gerenciadas pelo cliente
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: O serviço suporta a integração do Cofre de Chaves do Azure para quaisquer chaves, segredos ou certificados de clientes. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Armazenar credenciais no Azure Key Vault
DP-7: Use um processo seguro de gerenciamento de certificados
Funcionalidades
Gerenciamento de certificados no Azure Key Vault
Descrição: O serviço dá suporte à integração do Azure Key Vault para qualquer certificado de cliente. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Armazenar credenciais no Azure Key Vault
Gestão de ativos
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Gerenciamento de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: As configurações de serviço podem ser monitoradas e aplicadas por meio da Política do Azure. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas sobre funcionalidades: Use a Política do Azure para auditar e restringir quais serviços os utilizadores podem provisionar no seu ambiente. Use o Azure Resource Graph para consultar e descobrir recursos em assinaturas. Você também pode usar o Azure Monitor para criar regras para disparar alertas quando eles detetarem um serviço não aprovado.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Definições internas da Política do Azure para o Data Factory
Deteção de registo e de ameaça
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: registro em log e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender de Serviço/Oferta de Produtos
Descrição: O serviço tem uma solução Microsoft Defender específica para monitorar e alertar sobre problemas de segurança. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidade: IR auto-hospedado (SHIR) a funcionar em VMs e contentores do Azure, usa o Defender para estabelecer a configuração de segurança.
Diretrizes de configuração: Este recurso não é suportado para proteger este serviço.
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: O serviço produz registos de recursos que podem fornecer métricas melhoradas e registos específicos do serviço. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Verdade | A Microsoft |
Notas de funcionalidade: Os registos de atividade estão disponíveis automaticamente. Você pode usar os logs de atividades para localizar erros durante a solução de problemas ou para monitorar como os usuários em sua organização modificaram os recursos.
Use o Microsoft Defender for Cloud e a Política do Azure para habilitar logs de recursos e coleta de dados de log.
Diretrizes de configuração: Nenhuma configuração adicional é necessária, pois isso é habilitado em uma implantação padrão.
Referência: Configurações de diagnóstico no Azure Monitor
Cópia de segurança e recuperação
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Backup e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: O serviço dá suporte a seu próprio recurso de backup nativo (se não estiver usando o Backup do Azure). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de recurso: para fazer backup de todo o código no Azure Data Factory, use a funcionalidade de controle de origem no Data Factory.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Controle do código-fonte no Azure Data Factory
Próximos passos
- Consulte a visão geral do benchmark de segurança na nuvem da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure