Az Azure biztonsági alapkonfigurációja a Azure Firewall Managerhez

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 3.0-s verziójának útmutatását alkalmazza a Azure Firewall Managerre. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és a Azure Firewall Managerre vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és annak javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender felhőhöz irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy funkció releváns Azure Policy-definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsenek felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Azure Firewall Managerre nem alkalmazható funkciók ki lettek zárva. Ha meg szeretné tudni, hogy Azure Firewall Manager hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure Firewall Manager biztonsági alapkonfiguráció-leképezési fájlt.

Biztonsági profil

A biztonsági profil összefoglalja a Azure Firewall Manager nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.

Szolgáltatás viselkedési attribútuma Érték
Product Category (Termék kategóriája) Hálózatkezelés, biztonság
Az ügyfél hozzáférhet a HOST/OS rendszerhez Nincs hozzáférés
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában Hamis
Az inaktív ügyféltartalmakat tárolja Hamis

Identitáskezelés

További információ: Azure Security Benchmark: Identity Management.

IM-1: Központosított identitás- és hitelesítési rendszer használata

Funkciók

Azure AD adatsík-hozzáféréshez szükséges hitelesítés

Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Adatvédelem

További információ: Azure Security Benchmark: Data protection.

DP-3: Bizalmas adatok titkosítása átvitel közben

Funkciók

Adatok átviteltitkosítás közben

Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Adatok átvitel közbeni titkosítása alapértelmezés szerint

DP-7: Biztonságos tanúsítványkezelési folyamat használata

Funkciók

Tanúsítványkezelés az Azure Key Vault-ban

Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Válasszon ki egy, az Azure-Key Vault-ben tárolt hitelesítésszolgáltatói (CA-) tanúsítványt a tűzfal prémium szintű szabályzatában, hogy engedélyezhesse Azure Firewall A TLS-vizsgálathoz.

Referencia: Tanúsítvány konfigurálása a szabályzatban

Eszközkezelés

További információ: Azure Security Benchmark: Asset Management.

AM-2: Csak jóváhagyott szolgáltatások használata

Funkciók

Az Azure Policy támogatása

Leírás: A szolgáltatáskonfigurációk Azure Policy keresztül figyelhetők és kényszeríthetők. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhat Azure Policy az Azure-erőforrások konfigurációinak naplózásához és kikényszerítéséhez. Az Azure Monitor használatával riasztásokat hozhat létre, ha az erőforrások konfigurációs eltérést észlelnek. Használjon Azure Policy [megtagadási] és [üzembe helyezési, ha nem létezik] effektusokat az Azure-erőforrások biztonságos konfigurációjának kikényszerítéséhez.

Referencia: azure/governance/policy/tutorials

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-4: Naplózás engedélyezése biztonsági vizsgálathoz

Funkciók

Azure-erőforrásnaplók

Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Funkciójegyzetek: Azure Firewall Manager nem rendelkezik saját erőforrásnaplóval. Az összes diagnosztikai napló beágyazva van a standard Azure Firewall erőforrásnaplóba.

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Biztonsági másolat és helyreállítás

További információkért tekintse meg az Azure Biztonsági teljesítménytesztet: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Funkciók

Azure Backup

Leírás: A szolgáltatásról a Azure Backup szolgáltatás készíthet biztonsági másolatot. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Szolgáltatás natív biztonsági mentési képessége

Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használ Azure Backup). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Funkciójegyzetek: Azure Firewall Manager nem rendelkezik natív biztonsági mentési képességgel, de lehetősége van az összes konfigurációs beállítást ARM-sablonnal exportálni.

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Következő lépések