Azure-säkerhetsbaslinje för Azure Firewall Manager

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 3.0 till Azure Firewall Manager. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Firewall Manager.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen för Microsoft Defender för molnet.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Funktioner som inte gäller för Azure Firewall Manager har exkluderats. Information om hur Azure Firewall Manager helt mappar till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure Firewall Manager-säkerhetsbaslinje.

Säkerhetsprofil

Säkerhetsprofilen sammanfattar beteendet för Azure Firewall Manager, vilket kan leda till ökade säkerhetsöverväganden.

Attribut för tjänstbeteende Värde
Produktkategori Nätverk, säkerhet
Kunden kan komma åt HOST/OS Ingen åtkomst
Tjänsten kan distribueras till kundens virtuella nätverk Falskt
Lagrar kundinnehåll i vila Falskt

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Använd centraliserat identitets- och autentiseringssystem

Funktioner

Azure AD autentisering krävs för dataplansåtkomst

Beskrivning: Tjänsten stöder användning av Azure AD autentisering för dataplansåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-3: Kryptera känsliga data under överföring

Funktioner

Data under överföringskryptering

Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.

Referens: Kryptering under överföring som standard

DP-7: Använd en säker certifikathanteringsprocess

Funktioner

Certifikathantering i Azure Key Vault

Beskrivning: Tjänsten stöder Azure Key Vault integrering för alla kundcertifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Välj ett certifikat för certifikatutfärdare (CA) som lagras i Azure Key Vault i din Firewall Premium-princip så att du kan aktivera Azure Firewall för TLS-inspektion.

Referens: Konfigurera ett certifikat i principen

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-2: Använd endast godkända tjänster

Funktioner

Azure Policy-stöd

Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.

Referens: azure/governance/policy/tutorials

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-4: Aktivera loggning för säkerhetsundersökning

Funktioner

Azure-resursloggar

Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Azure Firewall Manager har ingen egen resurslogg. Alla diagnostikloggar är inbäddade i standardresursloggen Azure Firewall.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar

Funktioner

Azure Backup

Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Funktion för inbyggd säkerhetskopiering av tjänsten

Beskrivning: Tjänsten stöder sin egen interna säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Azure Firewall Manager har ingen inbyggd säkerhetskopieringsfunktion, men du har möjlighet att exportera alla konfigurationsinställningar med hjälp av en ARM-mall.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Nästa steg