Azure-beveiligingsbasislijn voor Azure Firewall Manager
Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 3.0 toe op Azure Firewall Manager. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Firewall Manager.
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.
Wanneer een functie relevante Azure Policy definities heeft, worden deze weergegeven in deze basislijn om de naleving van de besturingselementen en aanbevelingen van De Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op Azure Firewall Manager zijn uitgesloten. Als u wilt zien hoe Azure Firewall Manager volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Azure Firewall Manager-toewijzingsbestand voor beveiligingsbasislijnen.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van gedrag met een hoge impact van Azure Firewall Manager, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Netwerken, beveiliging |
| Klant heeft toegang tot HOST/OS | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Niet waar |
| Slaat de inhoud van de klant at rest op | Niet waar |
Identiteitsbeheer
Zie de Azure Security Benchmark: Identiteitsbeheer voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor gegevensvlaktoegang
Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Gegevensbeveiliging
Zie de Azure Security Benchmark: Gegevensbeveiliging voor meer informatie.
DP-3: Gevoelige gegevens versleutelen tijdens overdracht
Functies
Versleuteling van gegevens in transit
Beschrijving: De service ondersteunt versleuteling van gegevens in transit voor het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Versleuteling van gegevens in transit is standaard
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: De service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: selecteer een CA-certificaat (Certificate Authority) dat is opgeslagen in Azure Key Vault in uw Firewall Premium-beleid, zodat u Azure Firewall kunt inschakelen voor TLS-inspectie.
Naslaginformatie: Een certificaat configureren in uw beleid
Asset-management
Zie de Azure Security Benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik Azure Policy effecten [weigeren] en [implementeren als dit niet bestaat] om veilige configuratie af te dwingen in Azure-resources.
Naslaginformatie: azure/governance/policy/tutorials
Logboekregistratie en bedreidingsdetectie
Zie de Azure Security Benchmark: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of log analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Azure Firewall Manager heeft geen eigen resourcelogboek. Alle diagnostische logboeken worden ingesloten in het standaard-Azure Firewall resourcelogboek.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Back-ups maken en herstellen
Zie de Azure Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Regelmatige geautomatiseerde back-ups garanderen
Functies
Azure Backup
Beschrijving: Er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-upmogelijkheid van service
Beschrijving: Service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als deze niet gebruikmaakt van Azure Backup). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Azure Firewall Manager beschikt niet over een systeemeigen back-upmogelijkheid, maar u hebt een optie om alle configuratie-instellingen te exporteren met behulp van een ARM-sjabloon.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Volgende stappen
- Bekijk het overzicht van Azure Security Benchmark V3
- Meer informatie over Azure-beveiligingsbasislijnen