Azure NAT Gateway için Azure güvenlik temeli
Bu güvenlik temeli , Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Azure NAT Gateway'e yönergeleri uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Azure NAT Ağ Geçidi için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Azure NAT Ağ Geçidi için geçerli olmayan özellikler dışlanmıştır. Azure NAT Gateway'in Microsoft bulut güvenlik karşılaştırmasına nasıl tamamen eşlediğini görmek için bkz. Azure NAT Gateway güvenlik temeli eşleme dosyasının tamamı.
Güvenlik profili
Güvenlik profili, Azure NAT Ağ Geçidi'nin yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | Ağ |
| Müşteri HOST / işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
| Bekleyen müşteri içeriğini depolar | Yanlış |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyon sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmeti bir sanal ağa dağıtın. Genel IP'leri kaynağa doğrudan atamak için güçlü bir neden olmadığı sürece kaynağa özel IP'ler atayın (varsa).
Başvuru: Hızlı Başlangıç: Azure portal kullanarak NAT ağ geçidi oluşturma
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Network:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile alt ağınıza erişimi kısıtlayarak olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Access Control Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
veri düzlemi erişimi için gerekli Azure AD kimlik doğrulaması
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylanan hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yok. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Yerleşik İlkeler - Ağ
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: Hizmet, Ölçümler ve İçgörüler günlükleri gibi diğer günlüğe kaydetme özelliklerini sağlar.
Daha fazla bilgi için lütfen Azure NAT Ağ Geçidi ölçümleri ve uyarıları'nı ziyaret edin.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin