Azure säkerhetsbaslinje för Microsoft Foundry

Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft cloud security benchmark version 1.0 till Microsoft Foundry. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar på Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för Foundry.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender for Cloud. Azure Policy definitioner visas i avsnittet Regelefterlevnad på sidan Microsoft Defender for Cloud portal.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts prestandamått för molnsäkerhet och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.

Säkerhetsprofil

Säkerhetsprofilen sammanfattar beteendet för Foundry med hög påverkan, vilket kan leda till ökade säkerhetsöverväganden.

Nätverkssäkerhet

Mer information finns i Microsofts molnsäkerhetsmått: Nätverkssäkerhet.

NS-1: Upprätta gränser för nätverkssegmentering

Egenskaper

Integrering av virtuellt nätverk

Description: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.

Konfigurationsvägledning: Du kan konfigurera en privat länkanslutning för att få åtkomst till Foundry från ditt virtuella nätverk. Du kan använda den inbyggda funktionen för hanterad nätverksisolering för att tillhandahålla nätverksisolering för dina beräkningsresurser på Foundry, till exempel beräkningsinstans.

Reference: Så här konfigurerar du en private link för Foundry

Stöd för nätverkssäkerhetsgrupp

Beskrivning: Tjänstnätverkstrafiken respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.

Funktionsanteckningar: Nätverkssäkerhetsgrupp (NSG) stöds av Foundry. Det är kundernas ansvar att se till att principerna konfigureras korrekt och tillämpa NSG på resurserna.

Konfigurationsvägledning: Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik efter port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtual network och Azure lastbalanserare.

NS-2: Skydda cloud services med nätverkskontroller

Egenskaper

Azure Private Link

Description: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.

Konfigurationsvägledning: Distribuera privata slutpunkter för alla Azure resurser som stöder funktionen Private Link för att upprätta en privat access plats för resurserna.

Reference: Så här konfigurerar du en private link för Foundry

Inaktivera offentligt nätverksåtkomst

Description: Tjänsten stöder inaktivering av offentlig nätverksåtkomst antingen via IP ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med hjälp av omkopplaren "Inaktivera offentlig nätverksåtkomst". Läs mer.

Feature notes: Inaktivering av offentlig internetåtkomst stöds av Foundry. Kunden kan konfigurera Azure Private Link för skyddad åtkomst till Foundry- och beräkningsresurser.

Konfigureringsvägledning: Inaktivera offentlig nätverksåtkomst antingen med hjälp av IP-ACL-filtreringsregeln på tjänstnivå eller en omkopplare för att stänga av offentlig nätverksåtkomst.

Reference: Så här konfigurerar du en private link för Foundry

Identitetshantering

Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.

IM-1: Använd centraliserat identitets- och autentiseringssystem

Egenskaper

Azure AD-autentisering krävs för data planåtkomst

Description: Tjänsten stöder användning av Azure AD-autentisering för dataplan access. Läs mer.

Feature notes: Azure rollbaserad åtkomstkontroll används för att hantera åtkomst till Foundry med fördefinierade roller. Användare i din Microsoft Entra ID bör ha roller tilldelade för att få tillgång till resurserna i Foundry.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.

Reference: Rollbaserad åtkomstkontroll för Foundry

Lokala autentiseringsmetoder för åtkomst till dataplanet

Description: Lokala autentiseringsmetoder som stöds för dataplanets access, till exempel ett lokalt användarnamn och lösenord. Läs mer.

Funktionsanteckningar: Lokal autentisering till dataplanet stöds inte av Foundry. Kunder bör använda Azure Entra-ID för att hantera access till dataplanet. Kunden kan dock konfigurera lokal autentisering för beräkningsinstans som är inaktiverad som standard.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt

Egenskaper

Hanterade identiteter

Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.

Funktionsanteckningar: Hanterad identitet stöds av Foundry. Kunder bör dock se till att den hanterade identiteten är korrekt konfigurerad för målresurserna för att aktivera access.

Konfigurationsvägledning: Använd Azure hanterade identiteter i stället för tjänstens huvudnamn när det är möjligt, vilket kan autentisera till Azure tjänster och resurser som stöder Azure Active Directory (Azure AD)-autentisering. Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.

Tjänstprincipaler

Beskrivning: Dataplanet stöder autentisering med hjälp av tjänsteprinciper. Läs mer.

Feature-anteckningar: Tjänsthuvudkonton stöds av Foundry och kan konfigureras för resurser som stöder AI-projekt, inklusive lagringskonton och Azure Key Vault med mera.

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

IM-7: Begränsa åtkomst till resurser baserat på villkor

Egenskaper

Villkorsstyrd åtkomst för dataplan

Description: Dataplanåtkomst kan styras med hjälp av Azure AD:s principer för villkorsstyrd åtkomst. Läs mer.

Feature notes: Villkorlig Access stöds av Foundry, men kunderna måste konfigurera de principer som inte är aktiverade som standard.

Konfigurationsvägledning: Definiera tillämpliga villkor och kriterier för Azure Active Directory (Azure AD) villkorsstyrda access i arbetsbelastningen. Överväg vanliga användningsfall som att blockera eller bevilja access från specifika platser, blockera riskfyllt inloggningsbeteende eller kräva organisationshanterade enheter för specifika program.

IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter

Egenskaper

Tjänsteuppgifter och hemligheter stöder integrering och lagring i Azure Key Vault

Description: Dataplanet stöder intern användning av Azure Key Vault för arkiv med autentiseringsuppgifter och hemligheter. Läs mer.

Funktionsanteckningar: Kunder kan använda Azure Key Vault för att hantera konfidentiella uppgifter, såsom anslutningssträngar för dina resursanslutningar. För dataisolering kan hemligheter inte hämtas mellan projekt via API:er.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.

Reference: Foundry-arkitektur

Privilegierad åtkomst

Mer information finns i Microsoft cloud security benchmark: Privileged access.

PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare

Egenskaper

Lokala administratörskonton

Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.

Feature notes: När en beräkningsinstans skapas kan kunderna konfigurera rot-access under säkerhetssidan. Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.

Reference: Skapa och hantera beräkningsinstanser i Foundry

PA-7: Följ principen om tillräckligt med administration (principen om minst privilegier)

Egenskaper

Azure RBAC för dataplan

Description: Azure Role-Based Access Control (Azure RBAC) kan användas för att hantera access till tjänstens dataplansåtgärder. Läs mer.

Funktionsanteckningar: Azure Rollbaserat åtkomstkontroll stöds av Foundry med fördefinierade roller. Kunder måste tilldela rollerna till användare innan de kan access Foundry.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.

Reference: Rollbaserad åtkomstkontroll för Foundry

PA-8: Bestämma åtkomstprocessen för molnleverantörssupport

Egenskaper

Kundlåsbox

Description: Customer Lockbox kan användas för åtkomst till Microsofts support. Läs mer.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Dataskydd

Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märka känsliga data

Egenskaper

Identifiering och klassificering av känsliga data

Description: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för dataidentifiering och klassificering i tjänsten. Läs mer.

Funktionsanteckningar: Identifiering och klassificering av känsliga data stöds inte av Foundry just nu. Medan data under överföring och i vila krypteras måste kunderna överväga konfigurerbara funktioner, inklusive nätverksisolering, access control osv. för att skydda data.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-2: Övervaka avvikelser och hot mot känsliga data

Egenskaper

Dataläckage/förlustskydd

Beskrivning: Tjänsten har stöd för DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll). Läs mer.

Funktionsanteckningar: DLP-lösningen (Data Leakage/Loss Prevention) stöds inte av Foundry just nu. Kunden bör överväga att tillämpa kontroller som hjälper till att skydda data, inklusive nätverksisolering, access hantering osv.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-3: Kryptera känsliga data under överföring

Egenskaper

Kryptering av data under överföring

Beskrivning: Tjänsten stöder kryptering av data under överföring för dataplanet. Läs mer.

Funktionsanteckningar: Foundry använder kryptering för att skydda vilande data och under överföring. Som standard används Microsoft-hanterade nycklar för kryptering.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.

DP-4: Aktivera vilande datakryptering som standard

Egenskaper

Vilande datakryptering med hjälp av plattformsnycklar

Beskrivning: Kryptering av data i vila med plattformnycklar stöds; allt kundinnehåll i vila är krypterat med dessa Microsoft-hanterade nycklar. Läs mer.

Funktionsanteckningar: Azure AI bygger på flera Azure-tjänster. Data lagras säkert med hjälp av krypteringsnycklar som Microsoft tillhandahåller som standard.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.

DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov

Egenskaper

Kryptering av data i vila med hjälp av CMK

Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.

Funktionsanteckningar: Foundry använder kryptering för att skydda vilande data och under överföring. Som standard används Microsoft-hanterade nycklar för kryptering. Kunder kan dock använda sina egna krypteringsnycklar (kundhanterade nycklar, CMK). Kunder väljer att använda den här funktionen måste ladda upp sina nycklar till Azure Key Vault för att dra nytta av funktionen.

Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfallet och tjänstomfattningen där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.

Referens: /azure/ai-services/encryption/cognitive-services-encryption-keys-portal

DP-6: Använd en process för säker nyckelhantering

Egenskaper

Nyckelhantering i Azure Key Vault

Description: Tjänsten stöder Azure Key Vault integrering för kundnycklar, hemligheter eller certifikat. Läs mer.

Feature notes: När en Azure AI Hub-resurs skapas krävs en Azure Key Vault som beroende resurs.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.

Reference: Foundry-arkitektur

DP-7: Använd en säker certifikathanteringsprocess

Egenskaper

Certifikathantering i Azure Key Vault

Description: Tjänsten stöder Azure Key Vault integrering för alla kundcertifikat. Läs mer.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Kapitalförvaltning

Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.

AM-2: Använd endast godkända tjänster

Egenskaper

Stöd för Azure Policy

Description: Tjänstkonfigurationer kan övervakas och tillämpas via Azure Policy. Läs mer.

Feature notes: Foundry tillhandahåller inbyggda Azure-principer. Principerna är dock inte aktiverade som standard. Kunder bör granska och välja att aktivera principerna där det behövs.

Konfigurationsvägledning: Använd Microsoft Defender for Cloud för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna. Använd Azure Policy [neka] och [implementera om det inte finns] effekter för att framtvinga säkra konfigurationer över Azure-resurser.

Referens: /azure/ai-services/policy-reference

AM-5: Använd endast godkända program på en virtuell dator

Egenskaper

Microsoft Defender for Cloud – Anpassningsbara programkontroller

Description: Tjänsten kan begränsa vilka kundprogram som körs på den virtuella datorn med hjälp av anpassningsbara programkontroller i Microsoft Defender for Cloud. Läs mer.

Funktionsanteckningar: Installationen av Microsoft Defender för servrar stöds, för närvarande, inte.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Logghantering och hotidentifiering

Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera funktioner för hotidentifiering

Egenskaper

Microsoft Defender för tjänst/produkterbjudande

Description: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för att övervaka och avisera om säkerhetsproblem. Läs mer.

Feature notes: Microsoft Defender kan konfigureras för olika resurser som är kopplade till Foundry. Kunden kan granska tillgängligheten via Dokumentation om Micrsoft Defender.

Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra hanteringsplanets access. När du får en avisering från Microsoft Defender för Key Vault undersöker och svarar du på aviseringen.

Reference: Microsoft Defender produkter och tjänster

LT-4: Aktivera loggning för säkerhetsundersökning

Egenskaper

Azure resursloggar

Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare, som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.

Feature notes: Azure monitor and Azure Log Analytics tillhandahåller övervakning och loggning för de underliggande resurser som används av Foundry.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.

Reference: Foundry-arkitektur

Hantering av hållning och sårbarhet

Mer information finns i Microsofts prestandamått för molnsäkerhet: Hantering av hållning och sårbarhet.

PV-3: Definiera och upprätta säkra konfigurationer för beräkningsresurser

Egenskaper

Azure Automation State Configuration (tillståndskonfiguration för automatisering)

Description: Azure Automation State Configuration kan användas för att upprätthålla operativsystemets säkerhetskonfiguration. Läs mer.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Azure Policy gästkonfigurationsagent

Description: Azure Policy gästkonfigurationsagent kan installeras eller distribueras som ett tillägg till beräkningsresurser. Läs mer.

Feature notes: Foundry tillhandahåller inbyggda Azure-principer. Principerna är dock inte aktiverade som standard. Kunder bör granska och välja att aktivera principerna där det behövs.

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Referens: /azure/ai-services/policy-reference

Anpassade VM-avbildningar

Beskrivning: Tjänsten har stöd för användning av användardefinierade VM-avbildningar eller fördefinierade avbildningar från marketplace med vissa baslinjekonfigurationer förinställda. Läs mer.

Funktionsanteckningar: Vm-avbildningen på beräkningsresurserna hanteras av Microsoft och anpassade VM-avbildningar stöds inte.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Avbildningar av anpassade containrar

Beskrivning: Tjänsten stöder användning av containeravbildningar som tillhandahålls av användaren eller fördefinierade avbildningar från Marketplace med vissa baslinjekonfigurationer förinställda. Läs mer.

Feature notes: Kunder kan välja att använda anpassad containeravbildning på beräkningsresurserna som är kopplade till AI-project.

Konfigurationsvägledning: Använd en förkonfigurerad härdad avbildning från en betrodd leverantör som Microsoft eller skapa önskad säker konfigurationsbaslinje i mallen för containeravbildning

PV-5: Utföra sårbarhetsbedömningar

Egenskaper

Sårbarhetsbedömning med hjälp av Microsoft Defender

Description: Tjänsten kan genomsökas för sårbarhetsskanning med hjälp av Microsoft Defender för Cloud eller andra Microsoft Defender-tjänster med inbyggd sårbarhetsbedömning (inklusive Microsoft Defender för server, containerregister, App Service, SQL och DNS). Läs mer.

Configuration Guidance: Följ rekommendationerna från Microsoft Defender for Cloud för att utföra sårbarhetsbedömningar på dina Azure virtual machines-, containeravbildningar och SQL-servrar.

Reference: Sårbarhetshantering för Foundry

PV-6: Åtgärda säkerhetsrisker snabbt och automatiskt

Egenskaper

Azure Automation Uppdateringshantering

Description: Tjänsten kan använda Azure Automation Uppdateringshantering för att distribuera korrigeringar och uppdateringar automatiskt. Läs mer.

Feature notes: Azure Automation Update stöds inte av Foundry. Distribueringar kan utnyttja VM-bilder och Docker-bilder. Metoderna och frekvensen för uppdatering/korrigering dokumenteras i dokumentationen – Sårbarhetshantering för Foundry (/en-us/azure/ai-foundry/concepts/vulnerability-management).

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Slutpunktssäkerhet

Mer information finns i Microsoft Cloud Security Benchmark: Endpoint Security.

ES-1: Använd slutpunktsidentifiering och svar (EDR)

Egenskaper

EDR-lösning

Description: EDR-funktionen (Endpoint Detection and Response), till exempel Azure Defender för servrar, kan distribueras till slutpunkten. Läs mer.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

ES-2: Använd modern programvara mot skadlig kod

Egenskaper

Lösning mot skadlig kod

Description: Funktioner mot skadlig kod, till exempel Microsoft Defender Antivirus, Microsoft Defender for Endpoint kan distribueras på slutpunkten. Läs mer.

Funktionsanteckningar: Lösningen mot skadlig kod stöds inte på slutpunkterna i Foundry. Kunder kan dock välja att installera lösningar mot skadlig kod på beräkningsinstansen. Mer information finns i /en-us/azure/ai-foundry/concepts/vulnerability-management#compute-instance.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

ES-3: Se till att programvara och signaturer mot skadlig kod uppdateras

Egenskaper

Hälsoövervakning av antiviruslösning

Beskrivning: Lösningen mot skadlig kod ger hälsostatusövervakning för uppdateringar av plattform, motor och automatiska signaturer. Läs mer.

Feature notes: Kunder kan välja att installera lösningar mot skadlig kod på beräkningsinstansen som är kopplad till AI-project.

Konfigurationsvägledning: Konfigurera din lösning mot skadlig kod för att säkerställa att plattformen, motorn och signaturerna uppdateras snabbt och konsekvent och att deras status kan övervakas.

Reference: Sårbarhetshantering för Foundry

Säkerhetskopiering och återställning

Mer information finns i Microsofts prestandamått för molnsäkerhet: Säkerhetskopiering och återställning.

BR-1: Se till att göra regelbundna automatiska säkerhetskopior

Egenskaper

Azure Backup

Description: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.

Feature-anteckningar: Azure backup kan konfigureras på lagringskonto som är kopplat till AI-projekt.

Konfigurationsvägledning: Aktivera Azure Backup och konfigurera säkerhetskopieringskällan (till exempel Azure Virtual Machines, SQL Server, HANA-databaser eller filresurser) med önskad frekvens och med önskad kvarhållningsperiod. För Azure Virtual Machines kan du använda Azure Policy för att aktivera automatiska säkerhetskopieringar.

Reference: Konfigurera och hantera säkerhetskopiering för Azure blobbar med hjälp av Azure Backup

Funktion för inbyggd säkerhetskopiering av tjänsten

Description: Tjänsten stöder sin egen interna säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.

Funktionsanteckningar: Foundry tillhandahåller ingen inbyggd säkerhetskopieringsfunktion. Kunder bör använda Azure Backup för resurser under AI-projekten.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Nästa steg

• Se översikten över Microsoft Cloud Security Benchmark
• Läs mer om Azure säkerhetsbaslinjer