Базовые показатели безопасности Azure для диспетчера трафика

Этот базовый план безопасности применяет рекомендации от Azure Security Benchmark версии 3.0 к диспетчеру трафика. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое группируется по элементам управления безопасностью, определенным в Azure Security Benchmark, и соответствующим руководством, применимым к диспетчеру трафика.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если функция имеет соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Функции , неприменимые к диспетчеру трафика, были исключены. Чтобы узнать, как диспетчер трафика полностью сопоставляется с Azure Security Benchmark, см. полный файл сопоставления базовых показателей безопасности диспетчера трафика.

Профиль безопасности

Профиль безопасности содержит общие сведения о поведении диспетчера трафика, что может привести к повышению безопасности.

Атрибут поведения службы Значение
Категория продуктов Сеть
Клиент может получить доступ к HOST / OS Нет доступа
Службу можно развернуть в виртуальной сети клиента. Неверно
Хранит неактивный контент клиента Неверно

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: Сетевая безопасность.

NS-1: установка границы сегментации сети

Компоненты

Интеграция с виртуальной сетью

Описание. Служба поддерживает развертывание в частных виртуальная сеть клиента (VNet). Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

NS-2: защита облачных служб с помощью элементов управления сетью

Компоненты

Описание: возможность фильтрации собственных IP-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление ресурсами

Дополнительные сведения см. в статье Azure Security Benchmark: управление активами.

AM-2: использование только утвержденных служб

Компоненты

Поддержка службы "Политика Azure"

Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную настройку в ресурсах Azure.

Справочные материалы: Политика Azure

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: Ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Компоненты

Microsoft Defender для службы или предложения продуктов

Описание. Служба предлагает решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

LT-4. Включение ведения журнала для исследования безопасности

Компоненты

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять улучшенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Включение журналов ресурсов Azure для диспетчера трафика. Журналы ресурсов диспетчера трафика Azure могут помочь понять поведение ресурса профиля диспетчера трафика. Например, данные журнала профиля можно использовать, чтобы определить, почему для конечной точки истекло время ожидания отдельных проб.

Справочник.Диагностика диспетчера трафика

Следующие шаги