Azure-säkerhetsbaslinje för Network Watcher
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 på Network Watcher. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för Network Watcher.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.
Anteckning
Funktioner som inte är tillämpliga på Network Watcher har exkluderats. Om du vill se hur Network Watcher helt mappar till Microsoft Cloud Security Benchmark kan du läsa den fullständiga mappningsfilen för Network Watcher säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar beteendet för Network Watcher, vilket kan leda till ökade säkerhetsöverväganden.
Attribut för tjänstbeteende | Värde |
---|---|
Produktkategori | Nätverk |
Kunden kan komma åt HOST/OS | Ingen åtkomst |
Tjänsten kan distribueras till kundens virtuella nätverk | Falskt |
Lagrar kundinnehåll i vila | Falskt |
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för åtkomst till dataplanet. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för att komma åt Network Watcher data. Network Watcher har flera inbyggda Azure RBAC-roller som möjliggör en detaljerad åtkomstbehörighetskontroll.
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Funktioner
Villkorsstyrd åtkomst för dataplan
Beskrivning: Dataplansåtkomst kan styras med hjälp av Azure AD principer för villkorsstyrd åtkomst. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Privilegierad åtkomst
Mer information finns i Microsofts benchmark för molnsäkerhet: Privilegierad åtkomst.
PA-7: Följ principen för precis tillräcklig administration (lägsta behörighet)
Funktioner
Azure RBAC för dataplan
Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Network Watcher har flera inbyggda Azure RBAC-roller som gör att du kan ha en detaljerad kontroll över de rollbaserade behörigheterna för användare att komma åt Network Watcher.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-3: Kryptera känsliga data under överföring
Funktioner
Data under överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Data under överföring
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Kryptering av vilande data med plattformsnycklar
Beskrivning: Kryptering av vilande data med plattformsnycklar stöds. Allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Falskt | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Azure Network Watcher lagrar inte kunddata i vila med undantag för den Anslutningsövervakare tjänst som lagrar data i Log Analytics-arbetsytan efter kundens val.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och tillämpa konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.
Referens: Azure Policy inbyggda definitioner för Azure Virtual Network
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för övervakning och avisering om säkerhetsproblem. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.