Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Эта базовая база безопасности основана на предыдущей версии Microsoft Cloud Security Benchmark (версия 1.0). Сведения о текущем руководстве по безопасности VPN-шлюза см. в статье "Защита VPN-шлюза Azure".
Этот эталон безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к шлюзу VPN. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к VPN-шлюзу.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Замечание
Функции , неприменимые к VPN-шлюзу, были исключены. Чтобы узнать, как VPN-шлюз полностью сопоставляется с эталонным показателем безопасности облака Майкрософт, см. полный файл сопоставления базовых показателей безопасности VPN-шлюза.
Профиль безопасности
Профиль безопасности резюмирует поведение VPN-шлюза с высоким воздействием, которое может потребовать дополнительных мер безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | Нетворкинг |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | True |
| Сохраняет содержимое данных клиента в состоянии покоя | Неправда |
Сетевая безопасность
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
Описание. Служба поддерживает развертывание в частной виртуальной сети клиента. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Руководство. Создание VPN-шлюза и управление ими с помощью портала Azure
Поддержка группы безопасности сети
Описание: Трафик сервисной сети соблюдает назначение правил групп безопасности сети на своих подсетях. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.Network:
| Имя (портал Azure) |
Description | Effect(s) | Версия (GitHub) |
|---|---|---|---|
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Группы безопасности сети (NSG) содержат перечень правил контрольного списка доступа (ACL), которые разрешают или запрещают сетевой трафик в вашу подсеть. | AuditIfNotExists, отключено | 3.0.0 |
NS-2. Защита облачных служб с помощью сетевых элементов управления
Функции
Приватный канал Azure
Описание. Возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или брандмауэром Azure). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Управление идентичностью
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Требуется проверка подлинности Azure AD для доступа к плоскости управления данными.
Описание. Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справочник.Настройка клиента Azure AD и конфигурации P2S для подключений VPN-шлюза P2S
IM-3. Безопасное и автоматическое управление идентичностями приложений
Функции
Управляемые учётные записи
Описание: Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Субъекты-службы
Описание: Канал данных поддерживает аутентификацию с помощью служебных принципалов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-7. Ограничение доступа к ресурсам в зависимости от условий
Функции
Условный доступ к плоскости данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
Справочник. Включение Многофакторной идентификации Azure AD (MFA) для VPN-пользователей
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Интеграция и хранение служебных учётных данных и секретов в Azure Key Vault
Описание: Уровень данных поддерживает родное использование Azure Key Vault для хранения учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)
Функции
Azure RBAC для плоскости данных
Описание: Управление доступом на основе ролей в Azure (Azure RBAC) можно использовать для управления доступом к действиям плоскости данных службы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Сервис "Контроль доступа клиентов"
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных при передаче
Описание. Служба поддерживает шифрование данных в транзитном режиме для плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Что такое VPN-шлюз Azure?
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-7. Использование процесса управления безопасными сертификатами
Функции
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Управление активами
Дополнительные сведения см. в Microsoft Cloud Security Benchmark: Управление активами.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Заметки о функциях: определены две политики:
- VPN-шлюзы Azure не должны использовать SKU "базовый".
- VPN-шлюзы должны использовать только проверку подлинности Azure Active Directory (Azure AD) для пользователей типа "точка — сеть".
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Встроенные определения политики Azure для сетевых служб Azure
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-4. Включить ведение журнала для расследования инцидентов безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание: Служба может быть защищена с помощью Azure Backup. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Дальнейшие шаги
- Ознакомьтесь с обзором Microsoft Cloud Security Benchmark
- Дополнительные сведения о базовых показателях безопасности Azure