Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Эта базовая база безопасности основана на предыдущей версии Microsoft Cloud Security Benchmark (версия 1.0). Текущие рекомендации по безопасности виртуальной глобальной сети см. в статье "Защита виртуальной глобальной сети Azure".
Этот базовый план безопасности применяет рекомендации от microsoft cloud security benchmark версии 1.0 к Виртуальной глобальной сети. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Виртуальной глобальной сети.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Замечание
Функции , неприменимые к виртуальной глобальной сети, были исключены. Сведения о том, как виртуальная глобальная сеть полностью сопоставляется с эталонным показателем безопасности Облака Майкрософт, см. полный файл сопоставления базовых показателей безопасности виртуальной глобальной сети.
Профиль безопасности
Профиль безопасности резюмирует поведение с высоким воздействием Virtual WAN, что может привести к усилению мер безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | Нетворкинг |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | Неправда |
| Сохраняет содержимое данных клиента в состоянии покоя | Неправда |
Управление идентичностью
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Поддержка интеграции и хранения учетных данных служб и секретов в Azure Key Vault
Описание: Плоскость управления данными поддерживает нативное использование Azure Key Vault для хранения учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, вместо внедрения их в файлы кода или конфигурации.
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных в пути
Описание: Служба поддерживает шифрование данных в процессе передачи для канала данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Shared |
Руководство по настройке: Включите безопасную передачу в службах, где есть встроенная функция шифрования данных при передаче. Виртуальная глобальная сеть Microsoft Azure предоставляет пользовательские возможности маршрутизации и предлагает шифрование для трафика ExpressRoute. Все управление маршрутами обеспечивается маршрутизатором виртуального концентратора, который также обеспечивает транзитное подключение между виртуальными сетями. Шифрование трафика ExpressRoute с помощью виртуальной глобальной сети обеспечивает зашифрованный транзит между локальными сетями и виртуальными сетями Azure через ExpressRoute, не переходя через общедоступный Интернет или используя общедоступные IP-адреса.
Справочник. Шифрование при передаче
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Shared |
Руководство по настройке. Создание и управление жизненным циклом ключей шифрования с помощью Azure Key Vault. VPN типа "сеть — сеть" в виртуальной глобальной сети использует предварительно общие ключи (PSK), которые обнаруживаются, создаются и управляются клиентом в Azure Key Vault. Реализуйте сканер учетных данных для идентификации учетных данных в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.
Управление активами
Дополнительные сведения см. в эталонном показателе безопасности облака Microsoft: Управление активами.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Shared |
Руководство по настройке. Использование Microsoft Defender для облака для настройки политики Azure для аудита и применения конфигураций ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов. Используйте эффекты политики Azure [deny] и [deploy if not exists], чтобы обеспечивать безопасную конфигурацию в ресурсах Azure.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для предложения сервисов/продуктов
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4. Включение логирования для расследования инцидентов безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке: Включите журналы ресурсов для службы виртуальной WAN и связанных ресурсов. Для ресурса Virtual WAN доступны различные журналы ресурсов, которые можно настроить с помощью портала Azure. Вы можете отправить в Log Analytics, выполнить потоковую передачу в концентратор событий или просто заархивировать в учетную запись хранения. Журналы ресурсов поддерживаются как для ExpressRoute, так и для VPN P2S/S2S.
Справочник: Журналы ресурсов
Дальнейшие шаги
- Ознакомьтесь с обзором Microsoft Cloud Security Benchmark
- Дополнительные сведения о базовых показателях безопасности Azure