此安全基線將 Microsoft 雲安全基準版本 1.0 中的指導應用於 Azure Cache for Redis。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容按 Microsoft 雲安全基準定義的安全控制措施和適用於 Azure Cache for Redis 的相關指南進行分組。
您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則定義會列在適用於雲端的 Microsoft Defender 入口網站頁面的 [法規合規性] 區段中。
當功能具有相關的 Azure 政策定義時,這些定義會列在此基準中,以協助您評估與 Microsoft 雲端安全性基準控制和建議的合規性。 某些建議可能需要付費的 Microsoft Defender 方案,才能啟用特定的安全性案例。
備註
已排除不適用於 Azure Cache for Redis 的功能。 若要瞭解 Azure Cache for Redis 如何完全映射到 Microsoft 雲安全基準,請參閱 完整的 Azure Cache for Redis 安全基線映射檔。
安全設定檔
安全配置文件總結了 Azure Cache for Redis 的高影響行為,這可能會導致安全注意事項增加。
| 服務行為屬性 | 價值觀 |
|---|---|
| 產品類別 | 資料庫 |
| 客戶可以存取主機/作業系統 | 無存取權 |
| 服務可以部署到客戶的虛擬網路中 | 對 |
| 儲存靜止狀態的客戶內容 | 否 |
網路安全性
如需詳細資訊,請參閱 Microsoft雲端安全性基準:網路安全性。
NS-1:建立網路分割界限
特徵
虛擬網路整合
描述:服務支持部署至客戶的私人虛擬網路(VNet)。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
功能說明:只有高級層 Azure Cache for Redis 實例才支援此功能。
設定指引:將服務部署至虛擬網路。 除非有充分的理由要將公用 IP 直接指派給資源,否則請將私人 IP 指派給資源 (如果適用的話)。
參考: 為高級 Azure Cache for Redis 實例配置虛擬網路支援
網路安全組支援
描述:服務網路流量會遵循分配給子網的網路安全群組規則。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
功能說明:此功能僅適用於 VNet 注入的緩存。
設定指引:使用網路安全組 (NSG) 來限制或監視埠、通訊協定、來源IP位址或目的地IP位址的流量。 建立 NSG 規則來限制服務的開放連接埠 (例如防止從不受信任的網路存取管理連接埠)。 請注意,NSG 預設會拒絕所有輸入流量,但允許來自虛擬網路和 Azure Load Balancer 的流量。
參考: 為高級 Azure Cache for Redis 實例配置虛擬網路支援
NS-2:使用網路控制保護雲端服務
特徵
Azure Private Link
描述:用於篩選網路流量的服務原生 IP 篩選功能(不會與 NSG 或 Azure 防火牆混淆)。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
功能說明:在經典 VNet 中部署的緩存不支援此功能。
設定指引:針對支援 Private Link 功能的所有 Azure 資源部署私人端點,以建立資源的私用存取點。
參考: 使用 Azure 專用連結的 Azure Cache for Redis
停用公用網路存取
描述:服務支援使用服務層級IP ACL篩選規則(非NSG或 Azure 防火牆)或使用[停用公用網路存取] 切換開關來停用公用網路存取。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | 微軟 |
功能說明:在經典 VNet 中部署的緩存不支援此功能。 publicNetworkAccess 標誌默認處於禁用狀態。
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
參考: 使用 Azure 專用連結的 Azure Cache for Redis
適用於雲端監視的 Microsoft Defender
Azure Policy 內置定義 - Microsoft.Cache:
| 名稱 (Azure 入口網站) |
說明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Cache for Redis 應該使用私人連結 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應到您的 Azure Cache for Redis 執行個體,就能降低資料外洩的風險。 在下列位置中深入了解:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists,已停用 | 1.0.0 |
身分識別管理
如需詳細資訊,請參閱 雲端安全性基準Microsoft:身分識別管理。
IM-1:使用集中式身分識別和驗證系統
特徵
資料平面存取必須使用 Azure AD 驗證
描述:服務支援使用 Azure AD 驗證進行數據平面存取。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
數據平面存取的本地驗證方法
描述:支持數據平面存取的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | 微軟 |
功能注意事項:避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改為使用 Azure AD 儘可能進行驗證。 切勿通過將屬性設置為 true 來 AuthNotRequired 完全禁用身份驗證,因為從安全角度來看,強烈建議不要這樣做,並且會允許未經身份驗證的訪問緩存數據。
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
AuthNotRequired確保 Redis 配置中的屬性未設置為 true。
參考: 如何配置 Azure Cache for Redis、 RedisCommonConfiguration.AuthNotRequired 屬性、 Redis REST API - 創建
IM-3:安全地且自動管理應用程式身分識別
特徵
管理式身分識別
描述:數據平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
服務主體
描述:數據平面支援使用服務主體進行驗證。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
IM-7:根據條件限制資源存取
特徵
數據平面的條件式存取
描述:您可以使用 Azure AD 條件式存取原則來控制數據平面存取。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
IM-8:限制認證和秘密的公開
特徵
在 Azure Key Vault 中實現服務憑證和機密資訊的整合與儲存支援。
描述:資料平面支援原生使用 Azure Key Vault 作為憑證和密鑰儲存服務。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
特權存取
如需詳細資訊,請參閱 Microsoft雲端安全性效能評定:特殊許可權存取。
PA-1:分隔及限制高許可權/系統管理使用者
特徵
本機系統管理員帳戶
描述:服務擁有本地管理帳戶的概念。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
PA-7:遵循適量管理(最小權限)原則
特徵
適用於資料平面的 Azure RBAC
描述:Azure 角色型 存取控制 (Azure RBAC) 可用來管理服務數據平面動作的存取權。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
PA-8:確定雲端提供者支援的存取流程
特徵
客戶保險箱
描述:客戶加密箱可用於Microsoft支援存取。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
數據保護
如需詳細資訊,請參閱 Microsoft雲端安全性基準:數據保護。
DP-1:探索、分類及標記敏感性資料
特徵
敏感數據探索和分類
描述:工具(例如 Azure Purview 或 Azure 資訊保護)可用於服務中的數據探索和分類。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
DP-2:監視以敏感數據為目標的異常和威脅
特徵
數據外洩/外洩防護
描述:服務支援 DLP 解決方案以監控客戶內容中的敏感數據移動。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
DP-3:加密傳輸中的敏感數據
特徵
傳輸中數據的加密
描述:此服務支持在數據平面中對傳輸數據進行加密。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | 微軟 |
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
參考: 如何配置 Azure Cache for Redis
適用於雲端監視的 Microsoft Defender
Azure Policy 內置定義 - Microsoft.Cache:
| 名稱 (Azure 入口網站) |
說明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應只啟用對 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | 稽核、拒絕、停用 | 1.0.0 |
DP-4:預設啟用靜態資料加密
特徵
使用平臺密鑰對靜止數據進行加密
描述:支援使用平臺密鑰進行待用數據加密,任何待用客戶內容都會使用這些Microsoft受控密鑰加密。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | 微軟 |
功能說明:在經典 VNet 中部署的緩存不支援此功能。
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
DP-5:視需要在待用數據加密中使用客戶自控密鑰選項
特徵
使用 CMK 進行靜態資料加密
描述:服務儲存的客戶內容支援使用客戶管理的密鑰進行靜態加密。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
DP-6:使用安全金鑰管理程式
特徵
Azure Key Vault 中的金鑰管理
描述:此服務支援任何客戶密鑰、秘密或憑證的 Azure 金鑰保存庫 整合。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
DP-7:使用安全的憑證管理程序
特徵
Azure Key Vault 中的憑證管理
描述:此服務支援任何客戶憑證的 Azure 金鑰保存庫 整合。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
資產管理
如需詳細資訊,請參閱 Microsoft雲端安全性基準:資產管理。
AM-2:僅使用已核准的服務
特徵
Azure 規範支援
描述:您可以透過 Azure 原則 監視及強制執行服務組態。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:使用適用於雲端的 Microsoft Defender 來設定 Azure 原則,以稽核及強制執行 Azure 資源的設定。 使用 Azure 監視器,在偵測到資源有設定偏差時建立警示。 使用 Azure 原則中的 [拒絕] 和 [若不存在則部署] 效果來強制執行跨 Azure 資源的安全設定。
參考: Azure Cache for Redis 的 Azure Policy 內置定義
記錄和威脅偵測
如需詳細資訊,請參閱 Microsoft雲端安全性效能評定:記錄和威脅偵測。
LT-1:啟用威脅偵測功能
特徵
Microsoft Defender 服務/產品供應專案
描述:服務具有供應專案特定的Microsoft Defender 解決方案,可監視和警示安全性問題。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
LT-4:啟用日誌以進行安全性調查
特徵
Azure 資源記錄
描述:服務會產生資源記錄,這些記錄可以提供增強的服務特定指標和日誌功能。 客戶可以設定這些資源記錄,並將其傳送至自己的數據接收端,例如儲存帳戶或記錄分析工作區。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:啟用服務的資源記錄。 例如,Key Vault 支援附加資源記錄,以追蹤從金鑰保存庫提取機密的操作,以及 Azure SQL 具有可追蹤資料庫要求的資源記錄。 資源記錄的內容會因 Azure 服務和資源類型而有所不同。
參考: 使用診斷設置監視 Azure Cache for Redis 數據
備份和復原
如需詳細資訊,請參閱 Microsoft雲端安全性基準:備份和復原。
BR-1:確保定期自動備份
特徵
Azure 備份服務
描述:服務可由 Azure 備份服務備份。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
服務原生備份功能
描述:服務支援自己的原生備份功能(如果未使用 Azure 備份)。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
後續步驟
- 請參閱 Microsoft 雲端安全性基準概述
- 深入瞭解 Azure 安全性基準