Az Azure biztonsági alapkonfigurációja Virtual WAN
Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 3.0-s verziójának útmutatását alkalmazza a Virtual WAN. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és a Virtual WAN vonatkozó kapcsolódó útmutató szerint van csoportosítva.
Ezt a biztonsági alapkonfigurációt és annak javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender felhőhöz irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.
Ha egy funkció releváns Azure Policy-definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsenek felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés
A Virtual WAN nem alkalmazható funkciók ki lettek zárva. Annak megtekintéséhez, hogy Virtual WAN hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Virtual WAN biztonsági alapkonfiguráció-leképezési fájlt.
Biztonsági profil
A biztonsági profil összefoglalja a Virtual WAN nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Hálózatkezelés |
| Az ügyfél hozzáférhet a HOST/OS rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Hamis |
| Az inaktív ügyféltartalmakat tárolja | Hamis |
Identitáskezelés
További információ: Azure Security Benchmark: Identity Management.
IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és a hitelesítő adatok biztonságos helyeken, például az Azure Key Vault vannak tárolva, ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazza őket.
Adatvédelem
További információ: Azure Security Benchmark: Data protection.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Megosztott |
Konfigurációs útmutató: Biztonságos átvitel engedélyezése olyan szolgáltatásokban, amelyekben beépített natív adatok vannak az átviteltitkosítási szolgáltatásban. A Microsoft Azure Virtual WAN egyéni útválasztási képességeket biztosít, és titkosítást biztosít az ExpressRoute-forgalom számára. Az útvonalkezelést a virtuális központ útválasztója biztosítja, amely lehetővé teszi a virtuális hálózatok közötti tranzitkapcsolatot is. Az ExpressRoute-forgalom titkosítása Virtual WAN titkosított átvitelt biztosít a helyszíni hálózatok és az Azure-beli virtuális hálózatok között az ExpressRoute-on keresztül anélkül, hogy a nyilvános interneten vagy nyilvános IP-címeken keresztül lépkednél.
Referencia: Titkosítás átvitel közben
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault-integrációt az ügyfélkulcsok, titkos kódok vagy tanúsítványok esetében. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Megosztott |
Konfigurációs útmutató: Az Azure Key Vault használatával hozhatja létre és szabályozhatja a titkosítási kulcsok életciklusát. A helyek közötti VPN Virtual WAN előre megosztott kulcsokat (PSK) használ, amelyeket az ügyfél az Azure-Key Vault fedez fel, hoz létre és kezel. Implementálja a Credential Scannert a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.
Eszközkezelés
További információ: Azure Security Benchmark: Asset Management.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk Azure Policy keresztül figyelhetők és kényszeríthetők. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Megosztott |
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhat Azure Policy az Azure-erőforrások konfigurációinak naplózásához és kikényszerítéséhez. Az Azure Monitor használatával riasztásokat hozhat létre, ha az erőforrások konfigurációs eltérést észlelnek. Használjon Azure Policy [megtagadási] és [üzembe helyezési, ha nem létezik] effektusokat az Azure-erőforrások biztonságos konfigurációjának kikényszerítéséhez.
Naplózás és fenyegetésészlelés
További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender for Service / Termékajánlat
Leírás: A szolgáltatás egy ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy Log Analytics-munkaterületre. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Engedélyezze az erőforrásnaplókat a Virtual Wan szolgáltatáshoz és a kapcsolódó erőforrásokhoz. Számos erőforrásnapló érhető el Virtual WAN és konfigurálható az Virtual WAN erőforráshoz Azure Portal. Dönthet úgy, hogy elküldi a Log Analyticsnek, streamel egy eseményközpontba, vagy egyszerűen archivál egy tárfiókba. Az erőforrásnaplók expressroute- és P2S/S2S VPN-ekhez is támogatottak.
Referencia: Erőforrásnaplók
Következő lépések
- Tekintse meg az Azure Security Benchmark V3 áttekintését
- További tudnivalók az Azure biztonsági alapterveiről