Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Front Door

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Azure Front Door. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Azure Front Door.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki , które nie mają zastosowania do usługi Azure Front Door, oraz te, dla których zalecane są wskazówki globalne, zostały wykluczone. Aby dowiedzieć się, jak usługa Azure Front Door całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktów odniesienia zabezpieczeń usługi Azure Front Door.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-4: Ochrona aplikacji i usług przed atakami w sieci zewnętrznej

Wskazówki: Użyj Azure PowerShell, aby utworzyć zasady filtrowania geograficznego i skojarzyć zasady z istniejącym hostem frontonu usługi Azure Front Door. Te zasady filtrowania geograficznego blokują żądania z sieci zewnętrznych, takich jak te z innych krajów lub regionów, z wyjątkiem Stany Zjednoczone.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Network:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonego Azure Firewall Usługa Microsoft Defender for Cloud ustaliła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą Azure Firewall lub obsługiwanej zapory nowej generacji AuditIfNotExists, Disabled 3.0.0-preview
Usługa Azure DDoS Protection w warstwie Standardowa powinna być włączona Standard ochrony przed atakami DDoS powinien być włączony dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. AuditIfNotExists, Disabled 3.0.0
Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy Access Control list (ACL), które zezwalają na ruch sieciowy do podsieci lub zezwalają na nie. AuditIfNotExists, Disabled 3.0.0
Web Application Firewall (zapora aplikacji internetowej) powinna być włączona dla Application Gateway Wdróż usługę Azure Web Application Firewall (WAF) przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Web Application Firewall (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak wstrzyknięcia kodu SQL, wykonywanie skryptów między witrynami, wykonywanie plików lokalnych i zdalnych. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http za pośrednictwem reguł niestandardowych. Inspekcja, odmowa, wyłączone 1.0.1
Web Application Firewall (WAF) należy włączyć dla usługi Azure Front Door Service Wdróż usługę Azure Web Application Firewall (WAF) przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Web Application Firewall (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak wstrzyknięcia kodu SQL, wykonywanie skryptów między witrynami, wykonywanie plików lokalnych i zdalnych. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http za pośrednictwem reguł niestandardowych. Inspekcja, odmowa, wyłączone 1.0.1

NS-6: Uproszczenie reguł zabezpieczeń sieci

Wskazówki: użyj tagów usługi Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieci skonfigurowanych dla zasobów oferty usługi Azure Front Door. Tagi usługi mogą być używane zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń. Określając nazwę tagu usługi (AzureFrontDoor.Frontend, AzureFrontDoor.Backend lub AzureFrontDoor.FirstParty) w odpowiednim polu źródłowym lub docelowym reguły, możesz zezwolić lub odrzucić ruch dla odpowiedniej usługi.

Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Odpowiedzialność: Klient

NS-7: Bezpieczna usługa nazw domen (DNS)

Wskazówki: Nie dotyczy; Usługa Azure Front Door nie ujawnia podstawowych konfiguracji DNS; te ustawienia są obsługiwane przez firmę Microsoft.

Odpowiedzialność: Microsoft

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówka: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla bezpieczeństwa poufnych ról, takich jak administratorzy, deweloperzy i operatorzy usług o kluczowym znaczeniu.

Używaj wysoce zabezpieczonych stacji roboczych użytkowników w usłudze Azure Bastion w celu wykonywania zadań administracyjnych. Wybierz usługę Azure Active Directory (Azure AD), zaawansowaną ochronę przed zagrożeniami w usłudze Microsoft Defender (ATP) i Microsoft Intune, aby wdrożyć bezpieczne i zarządzane stacje robocze użytkowników na potrzeby zadań administracyjnych. Zabezpieczone stacje robocze muszą być zarządzane centralnie w celu wymuszania zabezpieczonej konfiguracji, w tym silnego uwierzytelniania, punktów odniesienia oprogramowania i sprzętu, ograniczonego dostępu logicznego i sieciowego.

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: usługa Azure Front Door jest zintegrowana z kontrolą dostępu opartą na rolach (RBAC) platformy Azure w celu zarządzania zasobami. Usługa Azure RBAC umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Te role można przypisać do użytkowników, grup jednostek usługi i tożsamości zarządzanych. Dla niektórych zasobów istnieją wstępnie zdefiniowane wbudowane role i te role można zinwentaryzować lub wykonywać względem nich zapytania za pomocą narzędzi takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell lub witryna Azure Portal.

Postępuj zgodnie z najmniejszym modelem uprawnień dla uprawnień opartych na rolach przypisanych do zasobów za pomocą kontroli dostępu opartej na rolach platformy Azure i upewnij się, że są one oparte na potrzebie biznesowej. To uzupełnia podejście dostępu just in time (JIT) usługi Azure AD Privileged Identity Management (PIM) i powinno być okresowo weryfikowane.

Użyj wbudowanych ról, aby przydzielić uprawnienia i tworzyć tylko role niestandardowe na podstawie wymagań biznesowych.

Odpowiedzialność: Współużytkowane

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: Aby uzupełnić mechanizmy kontroli dostępu, dane przesyłane powinny być chronione przed atakami "poza pasmem" (np. przechwytywanie ruchu) przy użyciu szyfrowania w celu zapewnienia, że osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Usługa Front Door obsługuje protokoły TLS w wersji 1.0, 1.1 i 1.2. Protokół TLS 1.3 nie jest jeszcze obsługiwany. Wszystkie profile usługi Front Door utworzone po wrześniu 2019 r. używają protokołu TLS 1.2 jako domyślnego minimum.

Chociaż jest to opcjonalne dla ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że wszyscy klienci łączący się z zasobami platformy Azure mogą negocjować protokół TLS w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe wersje i protokoły SSL, TLS i SSH oraz słabe szyfry powinny być wyłączone.

Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.

Odpowiedzialność: Współużytkowane

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówki: Platforma Azure domyślnie udostępnia szyfrowanie danych magazynowanych. W przypadku wysoce poufnych danych można wybrać opcje implementowania dodatkowego szyfrowania magazynowanych na wszystkich zasobach platformy Azure, jeśli są dostępne. Platforma Azure domyślnie zarządza kluczami szyfrowania, ale udostępnia również opcje zarządzania własnymi kluczami (kluczami zarządzanymi przez klienta) dla niektórych usług platformy Azure.

Zaimplementuj narzędzie innej firmy, takie jak zautomatyzowane rozwiązanie ochrony przed utratą danych oparte na hoście, aby wymusić kontrolę dostępu do danych nawet wtedy, gdy dane są kopiowane z systemu.

Odpowiedzialność: Microsoft

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówki: Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia czytelnika zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Jednak szczegółowe informacje o zabezpieczeniach i czynniki ryzyka muszą być zawsze agregowane centralnie w organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Uwaga: dodatkowe uprawnienia mogą być wymagane do wglądu w obciążenia i usługi.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówki: stosowanie tagów do zasobów platformy Azure, grup zasobów i subskrypcji w celu logicznego organizowania ich w taksonomię. Każdy tag składa się z pary nazwy i wartości. Na przykład można zastosować nazwę „Środowisko” i wartość „Produkcyjne” do wszystkich zasobów w środowisku produkcyjnym.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: użyj Azure Policy, aby przeprowadzić inspekcję i ograniczyć usługi, które użytkownicy mogą aprowizować w danym środowisku. Wykonywanie zapytań o zasoby i odnajdywanie ich w ramach subskrypcji za pomocą usługi Azure Resource Graph.

Użyj usługi Azure Monitor, aby utworzyć reguły, aby wyzwalać alerty po wykryciu niezatwierdzonej usługi.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówki: usługa Azure Front Door nie zapewnia żadnych natywnych możliwości monitorowania zagrożeń bezpieczeństwa związanych z zasobami. Klienci mogą przekazywać wszystkie dzienniki z usługi Azure Front Door do rozwiązania SIEM, które mogą być używane do wykrywania zagrożeń.

Upewnij się, że monitorowanie różnych typów zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych. Skoncentruj się na alertach wysokiej jakości, aby zmniejszyć liczbę wykryć fałszywie dodatnich.

Odpowiedzialność: Microsoft

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówki: usługa Azure Front Door nie jest przeznaczona do wdrażania w sieciach wirtualnych, więc klienci nie mogą włączyć rejestrowania przepływów sieciowej grupy zabezpieczeń, kierowania ruchu przez zaporę lub przechwytywania pakietów.

Usługa Azure Front Door rejestruje cały ruch sieciowy, który przetwarza na potrzeby dostępu klientów. Włącz funkcję dzienników przepływu sieciowego i skonfiguruj te dzienniki do wysłania na konto magazynu na potrzeby długoterminowego przechowywania i inspekcji.

Odpowiedzialność: Współużytkowane

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Network:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Network Watcher należy włączyć Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieciowego na platformie Azure i z niej. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na końcu widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. AuditIfNotExists, Disabled 3.0.0

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówki: Dzienniki aktywności, które są automatycznie dostępne, zawierają wszystkie operacje zapisu (PUT, POST, DELETE) dla zasobów usługi Azure Front Door z wyjątkiem operacji odczytu (GET). Dzienniki aktywności mogą służyć do znajdowania błędu podczas rozwiązywania problemów lub monitorowania sposobu modyfikowania zasobu przez użytkownika w organizacji.

Włącz dzienniki zasobów platformy Azure dla usługi Azure Front Door. Usługi Microsoft Defender for Cloud i Azure Policy można używać do włączania dzienników zasobów i zbierania danych dzienników. Te dzienniki mogą być krytyczne dla późniejszego badania zdarzeń zabezpieczeń i wykonywania ćwiczeń kryminalistycznych.

Odpowiedzialność: Współużytkowane

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówki: Użyj usługi Microsoft Defender dla chmury i Azure Policy, aby ustanowić bezpieczne konfiguracje dla wszystkich zasobów obliczeniowych, w tym Virtual Machines, kontenerów i nie tylko.

Odpowiedzialność: Współużytkowane

PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: Nie dotyczy; Firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w systemach bazowych, które obsługują usługę Azure Front Door

Odpowiedzialność: Microsoft

SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania

Wskazówki: Szybko wdrażaj aktualizacje oprogramowania w celu korygowania luk w zabezpieczeniach systemów operacyjnych i aplikacji.

Określanie priorytetów przy użyciu wspólnego programu oceniania ryzyka (na przykład wspólnego systemu oceniania luk w zabezpieczeniach) lub domyślnych ocen ryzyka udostępnianych przez używane narzędzie do skanowania innej firmy. i dostosuj je do środowiska przy użyciu kontekstu, w którym aplikacje stanowią wysokie ryzyko bezpieczeństwa i które wymagają wysokiego czasu pracy.

Odpowiedzialność: Klient

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Następne kroki