适用于虚拟 WAN 的 Azure 安全基线

此安全基线将 Azure 安全基准版本 3.0 中的指南应用于虚拟 WAN。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按“安全控制”分组,这些控制由适用于虚拟 WAN 的 Azure 安全基准和相关指南定义。

可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy定义将在 Microsoft Defender for Cloud 仪表板的“法规符合性”部分列出。

当某个功能具有相关的Azure Policy定义时,它们将列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于虚拟 WAN的功能。 若要查看虚拟 WAN 到 Azure 安全基准的完整映射,请参阅完整的虚拟 WAN 安全基线映射文件

安全配置文件

安全配置文件汇总了虚拟 WAN的高影响行为,这可能会导致安全注意事项增加。

服务行为属性
产品类别 网络
客户可以访问 HOST/OS 无访问权限
可将服务部署到客户的虚拟网络中 False
存储静态客户内容 False

身份管理

有关详细信息,请参阅 Azure 安全基准:标识管理

IM-8:限制凭据和机密的泄露

功能

服务凭据和机密支持 Azure 密钥保管库中的集成和存储

说明:数据平面支持对凭据和机密存储使用 Azure 密钥保管库。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:确保机密和凭据存储在安全位置(例如 Azure 密钥保管库),而不是将它们嵌入代码或配置文件中。

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

DP-3:加密传输中的敏感数据

功能

传输加密中的数据

说明:服务支持数据平面的数据传输中加密。 了解详细信息

支持 默认启用 配置责任
True False 共享

配置指南:在内置传输加密功能的本机数据的服务中启用安全传输。 Microsoft Azure 虚拟 WAN提供自定义路由功能,并为 ExpressRoute 流量提供加密。 所有路由管理功能均由虚拟中心路由器提供,该路由器还启用了虚拟网络之间的传输连接。 使用虚拟 WAN 加密 ExpressRoute 流量,可通过 ExpressRoute 在本地网络和 Azure 虚拟网络之间提供加密的传输,而无需通过公共 Internet 或使用公共 IP 地址。

参考传输中的加密

DP-6:使用安全密钥管理流程

功能

Azure 密钥保管库中的密钥管理

说明:该服务支持任何客户密钥、机密或证书的 Azure 密钥保管库集成。 了解详细信息

支持 默认启用 配置责任
True False 共享

配置指南:使用 Azure 密钥保管库创建和控制加密密钥的生命周期。 虚拟 WAN中的站点到站点 VPN 使用预共享密钥 (PSK) ,这些密钥由客户在其 Azure 密钥保管库 中发现、创建和管理。 实施凭据扫描程序来识别代码中的凭据。 凭据扫描程序还会建议将发现的凭据转移到更安全的位置,例如 Azure Key Vault。

资产管理

有关详细信息,请参阅 Azure 安全基准:资产管理

AM-2:仅使用已获批准的服务

功能

Azure Policy 支持

说明:可以通过Azure Policy监视和强制执行服务配置。 了解详细信息

支持 默认启用 配置责任
True False 共享

配置指南:使用 Microsoft Defender for Cloud 配置Azure Policy来审核和强制实施 Azure 资源的配置。 使用 Azure Monitor 在资源上检测到配置偏差时创建警报。 使用 Azure Policy [deny] 和 [deploy if if not exists] 效果强制跨 Azure 资源强制实施安全配置。

日志记录和威胁检测

有关详细信息,请参阅 Azure 安全基准:日志记录和威胁检测

LT-1:启用威胁检测功能

功能

Microsoft Defender for Service/产品/服务

说明:服务具有特定于产品/服务的 Microsoft Defender 解决方案,用于监视和警报安全问题。 了解详细信息

支持 默认启用 配置责任
False 不适用 不适用

配置指南:不支持此功能来保护此服务。

LT-4:启用日志记录以进行调查

功能

Azure 资源日志

说明:服务生成资源日志,可提供增强的服务特定的指标和日志记录。 客户可以配置这些资源日志,并将其发送到自己的数据接收器,例如存储帐户或 Log Analytics 工作区。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:为虚拟 Wan 服务和相关资源启用资源日志。 各种资源日志可用于虚拟 WAN,可为具有Azure 门户的虚拟 WAN资源配置。 你可以选择发送到 Log Analytics、流式传输到事件中心,或者直接存档到某个存储帐户。 ExpressRoute 和 P2S/S2S VPN 都支持资源日志。

参考资源日志

后续步骤