category
此安全基线将Microsoft云安全基准1.0版的指导应用于Azure Bot Service。Microsoft云安全基准提供了如何在Azure上保护云解决方案的建议。内容按Microsoft云安全基准定义的安全控制和适用于Azure Bot Service的相关指导进行分组。
您可以使用Microsoft Defender for Cloud监视此安全基线及其建议。Azure策略定义将列在Microsoft Defender for Cloud门户页面的法规遵从性部分。
当一个功能具有相关的Azure策略定义时,它们会在此基线中列出,以帮助您衡量对Microsoft云安全基准控制和建议的合规性。某些建议可能需要付费的Microsoft Defender计划来启用某些安全场景。
注:
不适用于Azure Bot Service的功能已被排除。要查看Azure Bot Service如何完全映射到Microsoft云安全基准,请参阅完整的Azure Bot Service安全基准映射文件。
安全配置文件
安全配置文件总结了Azure Bot Service的高影响行为,这可能会导致安全考虑的增加。
| Service Behavior Attribute | Value |
|---|---|
| Product Category | AI+ML |
| Customer can access HOST / OS | No Access |
| Service can be deployed into customer's virtual network | False |
| Stores customer content at rest | True |
网络安全
有关更多信息,请参阅Microsoft云安全基准:网络安全。
NS-1:建立网络分段边界
特征
虚拟网络集成
描述:服务支持部署到客户的专用虚拟网络(ExpressRoute)中。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:将服务部署到虚拟网络中。为资源分配私有IP(如适用),除非有充分理由直接为资源分配公共IP。
参考:Azure Bot Service中的网络隔离
网络安全组支持
描述:服务网络流量遵守其子网上的网络安全组规则分配。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:使用网络安全组(NSG)按端口、协议、源IP地址或目标IP地址限制或监视流量。创建NSG规则以限制服务的开放端口(例如防止从不受信任的网络访问管理端口)。请注意,默认情况下,NSG拒绝所有入站流量,但允许来自虚拟网络和Azure负载均衡器的流量。
参考:在虚拟网络中使用Direct Line App Service扩展
NS-2:具有网络控制的安全云服务
特征
Azure专用链接
描述:用于过滤网络流量的服务本机IP过滤功能(不要与NSG或Azure防火墙混淆)。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
功能说明:在Azure Bot Service中执行此操作的唯一方法是使用Direct Line App Service扩展。
配置指南:为支持专用链接功能的Azure Bot Service部署专用终结点,为资源建立专用访问点。
参考:配置网络隔离
禁用公共网络访问
描述:服务支持通过使用服务级别IP ACL过滤规则(不是NSG或Azure防火墙)或使用“禁用公共网络访问”切换开关来禁用公共网络接入。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:使用公共网络访问的切换开关禁用公共网络访问。
参考:配置网络隔离
身份管理
有关更多信息,请参阅Microsoft云安全基准:身份管理。
IM-1:使用集中式身份验证系统
特征
数据平面访问需要Azure AD身份验证
说明:服务支持使用Azure AD身份验证进行数据平面访问。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:使用Azure Active Directory(Azure AD)作为默认身份验证方法来控制您的数据平面访问。
参考:使用Bot连接器API进行身份验证
数据平面访问的本地认证方法
描述:数据平面访问支持的本地身份验证方法,如本地用户名和密码。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
功能说明:避免使用本地身份验证方法或帐户,应尽可能禁用这些方法或帐户。尽可能使用Azure AD进行身份验证。
配置指南:添加Direct Channel时,Bot Framework会生成密钥。您的客户端应用程序使用这些密钥来验证它为与机器人程序通信而发出的Direct Line API请求。
参考:将机器人连接到直线
IM-3:安全自动地管理应用程序身份
特征
托管身份
说明:数据平面操作支持使用托管身份进行身份验证。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:尽可能使用Azure托管身份而不是服务主体,这些身份可以对支持Azure Active Directory(Azure AD)身份验证的Azure服务和资源进行身份验证。托管身份凭据由平台完全管理、轮换和保护,避免了源代码或配置文件中的硬编码凭据。
参考:创建Azure Bot资源
服务主体(Service Principals)
说明:数据平面支持使用服务主体进行身份验证。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:目前没有关于此功能配置的Microsoft指南。请检查并确定您的组织是否要配置此安全功能。
参考:向机器人添加身份验证
IM-7:根据条件限制资源访问
特征
数据平面的条件接收
说明:可以使用Azure AD条件访问策略控制数据平面访问。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:不支持此功能来保护此服务。
IM-8:限制证书和秘密的暴露
特征
Azure密钥库中的服务凭据和密钥支持集成和存储
说明:数据平面支持本地使用Azure密钥库进行凭据和机密存储。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:确保机密和凭据存储在Azure密钥库等安全位置,而不是将其嵌入到代码或配置文件中。
参考:Azure Bot Service加密静态数据
特权访问
有关更多信息,请参阅Microsoft云安全基准:特权访问。
PA-1:隔离和限制高权限/管理用户
特征
本地管理员帐户
描述:服务具有本地管理帐户的概念。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
PA-7:遵循适度管理(最小特权)原则
特征
Azure RBAC数据平面
说明:Azure基于角色的访问控制(Azure RBAC)可用于管理对服务数据平面操作的访问。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
数据保护
有关更多信息,请参阅Microsoft云安全基准:数据保护。
DP-1:发现、分类和标记敏感数据
特征
敏感数据发现和分类
说明:工具(如Azure权限或Azure信息保护)可用于服务中的数据发现和分类。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
DP-2:监控针对敏感数据的异常和威胁
特征
数据泄露/丢失预防
描述:服务支持DLP解决方案,以监控敏感数据移动(在客户内容中)。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
DP-3:加密传输中的敏感数据
特征
数据传输加密
说明:服务支持数据平面的数据传输加密。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | True | Microsoft |
配置指南:不需要额外的配置,因为这是在默认部署上启用的。
参考:Azure Bot Service强制执行传输层安全性(TLS)1.2
DP-4:默认启用静态数据加密
特征
使用平台密钥的静态数据加密
说明:支持使用平台密钥对静态数据进行加密,任何静态客户内容都使用这些Microsoft管理的密钥进行加密。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | True | Microsoft |
配置指南:不需要额外的配置,因为这是在默认部署上启用的。
参考:Azure Bot Service加密静态数据
DP-5:需要时在静态数据加密中使用客户管理的密钥选项
特征
使用CMK的静态数据加密
描述:服务存储的客户内容支持使用客户管理的密钥进行静态数据加密。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:如果法规遵从性要求,请定义需要使用客户管理密钥进行加密的用例和服务范围。使用客户管理的密钥为这些服务启用和实施静态数据加密。
参考:Azure Bot Service加密静态数据
DP-6:使用安全密钥管理过程
特征
Azure密钥库中的密钥管理
描述:该服务支持任何客户密钥、机密或证书的Azure密钥库集成。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:使用Azure密钥库创建和控制加密密钥的生命周期,包括密钥生成、分发和存储。根据定义的计划或密钥退役或妥协时,在Azure密钥库和服务中轮换和撤销密钥。当需要在工作负载、服务或应用程序级别使用客户管理密钥(CMK)时,请确保遵循密钥管理的最佳实践:使用密钥层次结构在密钥库中使用密钥加密密钥(KEK)生成单独的数据加密密钥(DEK)。确保密钥已在Azure密钥库中注册,并通过服务或应用程序的密钥ID进行引用。如果您需要将自己的密钥(BYOK)带到服务中(例如将HSM保护的密钥从本地HSM导入Azure密钥库),请按照建议的指导方针执行初始密钥生成和密钥传输。
参考:Azure Bot Service加密静态数据
资产管理
有关更多信息,请参阅Microsoft云安全基准:资产管理。
AM-2:仅使用经批准的服务
特征
Azure策略支持
说明:可以通过Azure策略监视和执行服务配置。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:使用Microsoft Defender for Cloud配置Azure策略,以审核和执行Azure资源的配置。当在资源上检测到配置偏差时,使用Azure Monitor创建警报。使用Azure策略[拒绝]和[如果不存在则部署]效果来强制跨Azure资源的安全配置。
参考:Azure Bot服务的Azure策略内置定义
日志记录和威胁检测
有关更多信息,请参阅Microsoft云安全基准:日志记录和威胁检测。
LT-1:启用威胁检测功能
特征
Microsoft Defender服务/产品提供
说明:该服务提供了一个特定于Microsoft Defender的解决方案,用于监控安全问题并发出警报。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
LT-4:启用安全调查日志记录
特征
Azure资源日志
描述:服务生成资源日志,这些日志可以提供增强的服务特定指标和日志记录。客户可以配置这些资源日志,并将其发送到自己的数据接收器,如存储帐户或日志分析工作区。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:为服务启用资源日志。
参考:监控Azure Bot服务
备份和恢复
有关更多信息,请参阅Microsoft云安全基准:备份和恢复。
BR-1:确保定期自动备份
特征
Azure备份
说明:该服务可以由Azure备份服务进行备份。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
功能说明:Bot Service是一种消息传递服务;存储仅是元数据和临时消息缓存(<24小时)。机器人服务资源的客户备份不会产生影响,因为机器人信息的主要存储在其他客户管理的资源中。
配置指南:不支持此功能来保护此服务。
服务本机备份功能
说明:服务支持自己的本机备份功能(如果不使用Azure backup)。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
下一步
- See the Microsoft cloud security benchmark overview
- Learn more about Azure security baselines
- 登录 发表评论
- 5 次浏览
Tags
最新内容
- 1 day 22 hours ago
- 1 day 22 hours ago
- 1 day 22 hours ago
- 1 day 22 hours ago
- 2 days 23 hours ago
- 2 days 23 hours ago
- 2 days 23 hours ago
- 2 days 23 hours ago
- 2 days 23 hours ago
- 2 days 23 hours ago