Azure-säkerhetsbaslinje för Virtual WAN

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 3.0 till Virtual WAN. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Virtual WAN.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen i Microsoft Defender för molnet.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Funktioner som inte är tillämpliga på Virtual WAN har exkluderats. Information om hur Virtual WAN mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Virtual WAN säkerhetsbaslinje.

Säkerhetsprofil

Säkerhetsprofilen sammanfattar beteendet för Virtual WAN, vilket kan leda till ökade säkerhetsöverväganden.

Attribut för tjänstbeteende Värde
Produktkategori Nätverk
Kunden kan komma åt HOST/OS Ingen åtkomst
Tjänsten kan distribueras till kundens virtuella nätverk Falskt
Lagrar kundinnehåll i vila Falskt

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter

Funktioner

Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault

Beskrivning: Dataplanet har stöd för intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Se till att hemligheter och autentiseringsuppgifter lagras på säkra platser som Azure Key Vault, i stället för att bädda in dem i kod- eller konfigurationsfiler.

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-3: Kryptera känsliga data under överföring

Funktioner

Data under överföringskryptering

Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Delad

Konfigurationsvägledning: Aktivera säker överföring i tjänster där det finns en inbyggd funktion för överföringskryptering inbyggd. Microsoft Azure Virtual WAN tillhandahåller anpassade routningsfunktioner och erbjuder kryptering för din ExpressRoute-trafik. All routningshantering tillhandahålls av den virtuella hubbroutern, som också möjliggör överföringsanslutning mellan virtuella nätverk. Kryptering av ExpressRoute-trafik med Virtual WAN ger en krypterad överföring mellan de lokala nätverken och virtuella Azure-nätverk via ExpressRoute, utan att gå via det offentliga Internet eller använda offentliga IP-adresser.

Referens: Kryptering under överföring

DP-6: Använd en säker nyckelhanteringsprocess

Funktioner

Nyckelhantering i Azure Key Vault

Beskrivning: Tjänsten stöder Integrering av Azure Key Vault för kundnycklar, hemligheter eller certifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Delad

Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera livscykeln för dina krypteringsnycklar. Plats-till-plats-VPN i Virtual WAN använder I förväg delade nycklar (PSK) som identifieras, skapas och hanteras av kunden i deras Azure-Key Vault. Implementera Credential Scanner för att identifiera autentiseringsuppgifter i koden. Credential Scanner uppmanar också till att flytta identifierade autentiseringsuppgifter till en säkrare plats som Azure Key Vault.

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-2: Använd endast godkända tjänster

Funktioner

Azure Policy-stöd

Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Delad

Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när det finns en konfigurationsavvikelse som identifieras på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera funktioner för hotidentifiering

Funktioner

Microsoft Defender för tjänst/produkterbjudande

Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender-lösning för att övervaka och varna om säkerhetsproblem. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

LT-4: Aktivera loggning för säkerhetsundersökning

Funktioner

Azure-resursloggar

Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Aktivera resursloggar för Virtual Wan-tjänsten och relaterade resurser. En mängd olika resursloggar är tillgängliga för Virtual WAN och kan konfigureras för den Virtual WAN resursen med Azure Portal. Du kan välja att skicka till Log Analytics, strömma till en händelsehubb eller att helt enkelt arkivera till ett lagringskonto. Resursloggar stöds för både ExpressRoute och P2S/S2S VPN.

Referens: Resursloggar

Nästa steg