Базовые показатели безопасности Azure для Диспетчера брандмауэра Azure

Это важно

Эта базовая база безопасности основана на предыдущей версии Microsoft Cloud Security Benchmark (версии 1.0) и может содержать устаревшие рекомендации. Последние рекомендации по безопасности см. в документации по диспетчеру брандмауэра Azure.

Этот базис безопасности применяет рекомендации из Microsoft cloud security benchmark версии 1.0 к менеджеру брандмауэра Azure. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к диспетчеру брандмауэров Azure.

Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.

Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.

Замечание

Функции , неприменимые к диспетчеру брандмауэра Azure, были исключены. Чтобы узнать, как диспетчер брандмауэра Azure полностью сопоставляется с эталонным показателем безопасности Microsoft Cloud Security, см. полный файл сопоставления базовых показателей безопасности Диспетчера брандмауэров Azure.

Профиль безопасности

Профиль безопасности резюмирует поведение с высоким воздействием диспетчера брандмауэра Azure, что может вызывать дополнительные соображения безопасности.

Атрибут поведения службы Ценность
Категория продукта Сеть, безопасность
Клиент может получить доступ к HOST / OS Нет доступа
Служба может быть развернута в виртуальной сети клиента Неправда
Сохраняет содержимое данных клиента в состоянии покоя Неправда

Управление идентичностью

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.

IM-1. Использование централизованной системы идентификации и проверки подлинности

Функции

Требуется аутентификация в Azure AD для доступа к плоскости данных

Описание: Служба поддерживает аутентификацию Azure AD для доступа к плоскости данных. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Защита данных

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.

DP-3. Шифрование конфиденциальных данных при передаче

Функции

Шифрование данных в пути

Описание: Служба поддерживает шифрование данных в процессе передачи для канала данных. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Справочник. По умолчанию шифрование данных в транзитном режиме

DP-7. Использование процесса управления безопасными сертификатами

Функции

Управление сертификатами в Azure Key Vault

Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке. Выберите сертификат центра сертификации (ЦС), хранящийся в Azure Key Vault в политике брандмауэра Premium, чтобы включить брандмауэр Azure для проверки TLS.

Справочник. Настройка сертификата в политике

Управление активами

Дополнительные сведения см. в эталонном показателе безопасности облака Microsoft: Управление активами.

AM-2. Использование только утвержденных служб

Функции

Поддержка политик Azure

Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
True Неправда Клиент

Руководство по настройке: Используйте Microsoft Defender для облачных решений, чтобы настроить политику Azure для аудита и применения конфигураций ваших Ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов. Используйте политику Azure с эффектами [запретить] и [развернуть, если отсутствует] для обеспечения безопасной конфигурации ресурсов Azure.

Справочник. Руководство. Создание политик и управление ими для обеспечения соответствия требованиям

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.

LT-4. Включение логирования для расследования инцидентов безопасности

Функции

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Заметки о функциях. Диспетчер брандмауэра Azure не имеет собственного журнала ресурсов. Все журналы диагностики внедрены в стандартный журнал ресурсов брандмауэра Azure.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Резервное копирование и восстановление

Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.

BR-1. Обеспечение регулярного автоматического резервного копирования

Функции

Azure Backup

Описание: Служба может быть резервно сохранена службой Azure Backup. Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Возможность встроенного резервного копирования службы

Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.

Поддерживается Включен по умолчанию Ответственность за конфигурацию
Неправда Не применимо Не применимо

Заметки о функциях. Диспетчер брандмауэра Azure не имеет собственных возможностей резервного копирования, но у вас есть возможность экспортировать все параметры конфигурации с помощью шаблона ARM.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Дальнейшие шаги