Azure-säkerhetsbaslinje för Azure Front Door

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 2.0 till Azure Front Door. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Front Door.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen för Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Front Door, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur Azure Front Door helt mappar till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure Front Door-säkerhetsbaslinjen.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-4: Skydda program och tjänster från externa nätverksattacker

Vägledning: Använd Azure PowerShell för att skapa en princip för geofiltrering och associera principen med din befintliga Azure Front Door-klientdelsvärd. Den här principen för geofiltrering blockerar begäranden från externa nätverk, till exempel från andra länder eller regioner utom USA.

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.Network:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
All Internettrafik ska dirigeras via din distribuerade Azure Firewall Microsoft Defender för molnet har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, Inaktiverad 3.0.0-förhandsversion
Azure DDoS Protection Standard ska vara aktiverat DDoS-skyddsstandarden ska vara aktiverad för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. AuditIfNotExists, Inaktiverad 3.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till undernätet. AuditIfNotExists, Inaktiverad 3.0.0
Web Application Firewall (WAF) ska vara aktiverat för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skriptkörning mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.1
Web Application Firewall (WAF) ska vara aktiverat för Azure Front Door Service Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skriptkörning mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.1

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Använd Virtual Network Service-taggar för att definiera nätverksåtkomstkontroller för nätverkssäkerhetsgrupper som konfigurerats för dina Azure Front Door-erbjudanderesurser. Tjänsttaggar kan användas i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen (AzureFrontDoor.Frontend, AzureFrontDoor.Backend eller AzureFrontDoor.FirstParty) i rätt käll- eller målfält i en regel kan du tillåta eller neka trafik för motsvarande tjänst.

Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

Ansvar: Kund

NS-7: Secure Domain Name Service (DNS)

Vägledning: Ej tillämpligt; Azure Front Door exponerar inte sina underliggande DNS-konfigurationer. dessa inställningar underhålls av Microsoft.

Ansvar: Microsoft

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Det är viktigt med säkra och isolerade arbetsstationer för att skydda känsliga roller som administratörer, utvecklare och operatörer av kritiska tjänster.

Använd mycket säkra användararbetsstationer med Azure Bastion för administrativa uppgifter. Välj Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) och Microsoft Intune för att distribuera säkra och hanterade användararbetsstationer för administrativa uppgifter. De skyddade arbetsstationerna måste hanteras centralt för att framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer, begränsad logisk åtkomst och nätverksåtkomst.

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Azure Front Door är integrerat med rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera dess resurser. Med Azure RBAC kan du hantera åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela dessa roller till användare, gruppera tjänstens huvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller frågas via verktyg som Azure CLI, Azure PowerShell eller Azure-portalen.

Följ modellen med minst privilegier för rollbaserade behörigheter som tilldelats resurser med Azure RBAC och se till att de baseras på affärsbehov. Det här är ett komplement till JIT-metoden (just in time) för Azure AD Privileged Identity Management (PIM) och bör granskas regelbundet.

Använd inbyggda roller för att allokera behörigheter och endast skapa anpassade roller baserat på affärskrav.

Ansvar: Delad

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-4: Kryptera känslig information under överföring

Vägledning: För att komplettera åtkomstkontroller bör data under överföring skyddas mot "out of band"-attacker (t.ex. trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Front Door stöder TLS-versionerna 1.0, 1.1 och 1.2. TLS 1.3 stöds inte ännu. Alla Front Door-profiler som skapats efter september 2019 använder TLS 1.2 som standardminimum.

Även om detta är valfritt för trafik i privata nätverk är detta viktigt för trafik i externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Föråldrade SSL-, TLS- och SSH-versioner och protokoll och svaga chiffer bör inaktiveras.

Som standard tillhandahåller Azure kryptering för data som överförs mellan Azure-datacenter.

Ansvar: Delad

DP-5: Kryptera känsliga data i vila

Vägledning: Azure tillhandahåller kryptering för vilande data som standard. För mycket känsliga data kan du välja mellan alternativ för att implementera ytterligare kryptering i vila på alla Azure-resurser där det är tillgängligt. Azure hanterar dina krypteringsnycklar som standard, men det innehåller även alternativ för att hantera dina egna nycklar (kundhanterade nycklar) för vissa Azure-tjänster.

Implementera ett verktyg från tredje part, till exempel en automatiserad värdbaserad lösning för dataförlustskydd, för att framtvinga åtkomstkontroller till data även när data kopieras från ett system.

Ansvar: Microsoft

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Se till att säkerhetsteam beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Beroende på hur säkerhetsteamets ansvarsområden är strukturerade kan övervakning av säkerhetsrisker vara ett centralt säkerhetsteams eller ett lokalt teams ansvar. Säkerhetsinsikter och risker måste dock alltid aggregeras centralt inom en organisation.

Behörigheter för säkerhetsläsare kan tillämpas brett över en hel klientorganisation (rothanteringsgrupp) eller omfattas av hanteringsgrupper eller specifika prenumerationer.

Obs! Ytterligare behörigheter kan krävas för insyn i arbetsbelastningar och tjänster.

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Tillämpa taggar på Azure-resurser, resursgrupper och prenumerationer för att logiskt organisera dem i en taxonomi. Varje tagg består av ett namn och ett värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Använd Azure Policy för att granska och begränsa vilka tjänster som användare kan etablera i din miljö. Fråga efter och identifiera resurser i sina prenumerationer med Azure Resource Graph.

Använd Azure Monitor för att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst identifieras.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Azure Front Door tillhandahåller inga inbyggda funktioner för att övervaka säkerhetshot relaterade till dess resurser. Kunder kan vidarebefordra alla loggar från Azure Front Door till en SIEM som kan användas för hotidentifiering.

Se till att du övervakar olika typer av Azure-resurser för potentiella hot och avvikelser. Aviseringar kan hämtas från loggdata, agenter eller andra data. Fokusera på aviseringar av hög kvalitet för att minska falska positiva identifieringar.

Ansvar: Microsoft

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: Azure Front Door är inte avsett att distribueras till virtuella nätverk, så kunderna kan inte aktivera flödesloggning för nätverkssäkerhetsgrupper, dirigera trafik genom en brandvägg eller utföra paketinsamlingar.

Azure Front Door loggar all nätverkstrafik som bearbetas för kundåtkomst. Aktivera funktionen för nätverksflödesloggar och konfigurera loggarna så att de skickas till ett lagringskonto för långsiktig kvarhållning och granskning.

Ansvar: Delad

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.Network:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar, som är automatiskt tillgängliga, innehåller alla skrivåtgärder (PUT, POST, DELETE) för dina Azure Front Door-resurser förutom läsåtgärder (GET). Aktivitetsloggar kan användas för att hitta ett fel vid felsökning eller för att övervaka hur en användare i din organisation ändrade en resurs.

Aktivera Azure-resursloggar för Azure Front Door. Du kan använda Microsoft Defender för molnet och Azure Policy för att aktivera resursloggar och insamling av loggdata. Dessa loggar kan vara kritiska för att senare undersöka säkerhetsincidenter och utföra kriminaltekniska övningar.

Ansvar: Delad

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-3: Upprätta säkra konfigurationer för beräkningsresurser

Vägledning: Använd Microsoft Defender för molnet och Azure Policy för att upprätta säkra konfigurationer för alla beräkningsresurser, inklusive Virtual Machines, containrar med mera.

Ansvar: Delad

PV-6: Utföra sårbarhetsbedömningar för programvara

Vägledning: Ej tillämpligt; Microsoft utför sårbarhetshantering på de underliggande system som stöder Azure Front Door

Ansvar: Microsoft

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Riktlinjer: Distribuera programuppdateringar snabbt för att åtgärda programvarurelaterade sårbarheter i operativsystem och program.

Prioritera ett vanligt riskbedömningsprogram (till exempel Common Vulnerability Scoring System) eller standardriskklassificeringarna som tillhandahålls av ett genomsökningsverktyg från tredje part som du använder. och skräddarsy för din miljö med kontexten för vilka program som utgör en hög säkerhetsrisk och vilka som kräver hög drifttid.

Ansvar: Kund

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester och ”red team”-aktiviteter för dina Azure-resurser och åtgärda alla kritiska säkerhetsbrister som upptäcks. Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Ansvar: Delad

Nästa steg