Azure-beveiligingsbasislijn voor Azure Firewall Manager

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 3.0 toe op Azure Firewall Manager. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Firewall Manager.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een functie relevante Azure Policy definities heeft, worden deze weergegeven in deze basislijn om de naleving van de besturingselementen en aanbevelingen van De Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Functies die niet van toepassing zijn op Azure Firewall Manager zijn uitgesloten. Als u wilt zien hoe Azure Firewall Manager volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Azure Firewall Manager-toewijzingsbestand voor beveiligingsbasislijnen.

Beveiligingsprofiel

Het beveiligingsprofiel bevat een overzicht van gedrag met een hoge impact van Azure Firewall Manager, wat kan leiden tot verhoogde beveiligingsoverwegingen.

Kenmerk servicegedrag Waarde
Productcategorie Netwerken, beveiliging
Klant heeft toegang tot HOST/OS Geen toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant Niet waar
Slaat de inhoud van de klant at rest op Niet waar

Identiteitsbeheer

Zie de Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken

Functies

Azure AD verificatie vereist voor gegevensvlaktoegang

Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Gegevensbeveiliging

Zie de Azure Security Benchmark: Gegevensbeveiliging voor meer informatie.

DP-3: Gevoelige gegevens versleutelen tijdens overdracht

Functies

Versleuteling van gegevens in transit

Beschrijving: De service ondersteunt versleuteling van gegevens in transit voor het gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.

Naslaginformatie: Versleuteling van gegevens in transit is standaard

DP-7: Een beveiligd certificaatbeheerproces gebruiken

Functies

Certificaatbeheer in Azure Key Vault

Beschrijving: De service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: selecteer een CA-certificaat (Certificate Authority) dat is opgeslagen in Azure Key Vault in uw Firewall Premium-beleid, zodat u Azure Firewall kunt inschakelen voor TLS-inspectie.

Naslaginformatie: Een certificaat configureren in uw beleid

Asset-management

Zie de Azure Security Benchmark: Asset management voor meer informatie.

AM-2: Alleen goedgekeurde services gebruiken

Functies

Ondersteuning voor Azure Policy

Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik Azure Policy effecten [weigeren] en [implementeren als dit niet bestaat] om veilige configuratie af te dwingen in Azure-resources.

Naslaginformatie: azure/governance/policy/tutorials

Logboekregistratie en bedreidingsdetectie

Zie de Azure Security Benchmark: Logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek

Functies

Azure-resourcelogboeken

Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of log analytics-werkruimte. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Functieopmerkingen: Azure Firewall Manager heeft geen eigen resourcelogboek. Alle diagnostische logboeken worden ingesloten in het standaard-Azure Firewall resourcelogboek.

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Back-ups maken en herstellen

Zie de Azure Security Benchmark: Back-up en herstel voor meer informatie.

BR-1: Regelmatige geautomatiseerde back-ups garanderen

Functies

Azure Backup

Beschrijving: Er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Systeemeigen back-upmogelijkheid van service

Beschrijving: Service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als deze niet gebruikmaakt van Azure Backup). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Functieopmerkingen: Azure Firewall Manager beschikt niet over een systeemeigen back-upmogelijkheid, maar u hebt een optie om alle configuratie-instellingen te exporteren met behulp van een ARM-sjabloon.

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Volgende stappen