Punkt odniesienia zabezpieczeń platformy Azure dla programu Azure Firewall Manager

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 3.0 do menedżera Azure Firewall. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące menedżera Azure Firewall.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Funkcje, które nie mają zastosowania do Azure Firewall Manager, zostały wykluczone. Aby zobaczyć, jak menedżer Azure Firewall całkowicie mapuje na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń menedżera Azure Firewall Manager.

Profil zabezpieczeń

Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie Azure Firewall Manager, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.

Atrybut zachowania usługi Wartość
Product Category Sieć, zabezpieczenia
Klient może uzyskać dostęp do hosta/systemu operacyjnego Brak dostępu
Usługę można wdrożyć w sieci wirtualnej klienta Fałsz
Przechowuje zawartość klienta magazynowanych Fałsz

Zarządzanie tożsamościami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie tożsamościami.

IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania

Funkcje

Uwierzytelnianie Azure AD wymagane do uzyskania dostępu do płaszczyzny danych

Opis: Usługa obsługuje uwierzytelnianie Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona danych.

DP-3: Szyfrowanie poufnych danych przesyłanych

Funkcje

Dane w szyfrowaniu tranzytowym

Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dokumentacja: Szyfrowanie podczas przesyłania danych domyślnie

DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami

Funkcje

Zarządzanie certyfikatami w usłudze Azure Key Vault

Opis: Usługa obsługuje integrację Key Vault platformy Azure dla wszystkich certyfikatów klienta. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: wybierz certyfikat urzędu certyfikacji przechowywany w usłudze Azure Key Vault w zasadach Premium zapory, aby umożliwić Azure Firewall na potrzeby inspekcji protokołu TLS.

Dokumentacja: Konfigurowanie certyfikatu w zasadach

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie zasobami.

AM-2: Używaj tylko zatwierdzonych usług

Funkcje

Obsługa usługi Azure Policy

Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj usługi Microsoft Defender for Cloud, aby skonfigurować Azure Policy do inspekcji i wymuszania konfiguracji zasobów platformy Azure. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje] efekty, aby wymusić bezpieczną konfigurację między zasobami platformy Azure.

Dokumentacja: azure/governance/policy/tutorials

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń

Funkcje

Dzienniki zasobów platformy Azure

Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Uwagi dotyczące funkcji: Azure Firewall Manager nie ma własnego dziennika zasobów. Wszystkie dzienniki diagnostyczne są osadzone w standardowym dzienniku zasobów Azure Firewall.

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Tworzenie i przywracanie kopii zapasowych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tworzenie kopii zapasowych i odzyskiwanie.

BR-1: Zapewnianie regularnych automatycznych kopii zapasowych

Funkcje

Azure Backup

Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Możliwość tworzenia natywnej kopii zapasowej usługi

Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używa Azure Backup). Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Uwagi dotyczące funkcji: Azure Firewall Manager nie ma natywnej możliwości tworzenia kopii zapasowej, ale istnieje możliwość wyeksportowania wszystkich ustawień konfiguracji przy użyciu szablonu usługi ARM.

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Następne kroki