Azure-beveiligingsbasislijn voor openbaar IP-adres van Azure
Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmark versie 1.0 toe op het openbare IP-adres van Azure. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op het openbare IP-adres van Azure.
U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.
Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op het openbare IP-adres van Azure, zijn uitgesloten. Als u wilt zien hoe het openbare IP-adres van Azure volledig wordt toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand voor openbare IP-beveiliging van Azure.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag met hoge impact van het openbare IP-adres van Azure, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Netwerken |
| Klant heeft toegang tot HOST/besturingssysteem | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Niet waar |
| Inhoud van klanten in rust opgeslagen | False |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: De service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: openbare IP-adressen kunnen worden gemaakt en later worden gekoppeld aan een resource in een virtueel netwerk.
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Network:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Subnets moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Bevoegde toegang
Zie microsoft cloud security benchmark: Privileged access (Microsoft Cloud Security Benchmark: Bevoegde toegang) voor meer informatie.
PA-7: Volg het principe just enough administration (least privilege)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: als u openbare IP-adressen wilt beheren, moet uw account zijn toegewezen aan de rol netwerkbijdrager. Een aangepaste rol wordt ook ondersteund.
Asset-management
Zie de Microsoft-cloudbeveiligingsbenchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij functies: Azure Policy definities kunnen worden geconfigureerd met betrekking tot openbare IP-adressen, zoals het vereisen van openbare IP-adressen dat resourcelogboeken zijn ingeschakeld voor Azure DDoS Protection Standard.
Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen voor Azure-resources.
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-4: logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Wanneer u kritieke toepassingen en bedrijfsprocessen hebt die afhankelijk zijn van Azure-resources, wilt u deze resources controleren op hun beschikbaarheid, prestaties en werking. Resourcelogboeken worden pas verzameld en opgeslagen wanneer u een diagnostische instelling maakt en deze naar een of meer locaties routeert.
Naslaginformatie: Openbare IP-adressen bewaken
Volgende stappen
- Zie het overzicht van de Benchmark voor Microsoft-cloudbeveiliging
- Meer informatie over Azure-beveiligingsbasislijnen