Base de referencia de seguridad de Azure para Azure Firewall Manager

Esta base de referencia de seguridad aplica la guía de la versión 3.0 de Azure Security Benchmark a Azure Firewall Manager. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por los controles de seguridad definidos por Azure Security Benchmark y las instrucciones relacionadas aplicables a Azure Firewall Manager.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo del panel de Microsoft Defender for Cloud.

Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota

Se han excluido las características no aplicables a Azure Firewall Manager. Para ver cómo Azure Firewall Manager se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de línea base de seguridad de Azure Firewall Manager.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de Azure Firewall Manager, lo que puede dar lugar a mayores consideraciones de seguridad.

Atributo de comportamiento del servicio Valor
Categoría de productos Redes, seguridad
El cliente puede acceder a HOST/OS. Sin acceso
El servicio se puede implementar en la red virtual del cliente. False
Almacena contenido de cliente en reposo False

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Uso de una identidad centralizada y un sistema de autenticación

Características

Autenticación de Azure AD necesario para el acceso al plano de datos

Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Protección de los datos

Para obtener más información, consulte Azure Security Benchmark: Protección de datos.

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Cifrado de datos en tránsito de forma predeterminada

DP-7: Uso de un proceso seguro de administración de certificados

Características

Administración de certificados en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: seleccione un certificado de entidad de certificación (CA) almacenado en Azure Key Vault en la directiva de Firewall Premium para que pueda habilitar Azure Firewall para la inspección de TLS.

Referencia: Configuración de un certificado en la directiva

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones del servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy efectos [deny] e [deploy if not exists] para aplicar la configuración segura en los recursos de Azure.

Referencia: azure/governance/policy/tutorials

Registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: Registro y detección de amenazas.

LT-4: Habilitación del registro para la investigación de seguridad

Características

Registros de recursos de Azure

Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Notas de características: Azure Firewall Manager no tiene un registro de recursos propio. Todos los registros de diagnóstico se insertan en el registro de recursos estándar Azure Firewall.

Guía de configuración: esta característica no se admite para proteger este servicio.

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Características

Azure Backup

Descripción: el servicio puede realizar una copia de seguridad del servicio Azure Backup. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Funcionalidad de copia de seguridad nativa del servicio

Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Notas de características: Azure Firewall Manager no tiene una funcionalidad de copia de seguridad nativa, pero tiene la opción de exportar todas las opciones de configuración mediante una plantilla de ARM.

Guía de configuración: esta característica no se admite para proteger este servicio.

Pasos siguientes