Standardní hodnoty zabezpečení Azure pro ExpressRoute
Tento standardní plán zabezpečení používá pokyny z srovnávacího testu cloudového zabezpečení Microsoftu verze 1.0 na ExpressRoute. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro ExpressRoute.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů a doporučení srovnávacích testů zabezpečení cloudu od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce , které se nevztahují na ExpressRoute, byly vyloučeny. Pokud chcete zjistit, jak se ExpressRoute zcela mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení ExpressRoute.
Profil zabezpečení
Profil zabezpečení shrnuje chování ExpressRoute s vysokým dopadem, což může vést k vyšším aspektům zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Hybridní/multicloudové prostředí, sítě |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
| Ukládá obsah zákazníka v klidovém stavu. | Ne |
Zabezpečení sítě
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network zákazníka (VNet). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Brána ExpressRoute
Podpora skupiny zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí skupin zabezpečení sítě (NSG) můžete omezit nebo monitorovat provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla NSG, která omezí otevřené porty vaší služby (například zabrání přístupu k portům pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a Azure Load Balancerů.
Poznámka: Zákazníci nemůžou nakonfigurovat trasu definovanou uživatelem s výchozí trasou nebo skupinou zabezpečení sítě v podsíti Brány.
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.Network:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami omezením přístupu k ní pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, Zakázáno | 3.0.0 |
Správa identit
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa identit.
IM-1: Použití centralizované identity a ověřovacího systému
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Metody místního ověřování pro přístup k rovině dat
Popis: Metody místního ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: I když se ověřování k ExpressRoute prostřednictvím spravované identity nepodporuje, služba využívá spravovanou identitu k ověření v Key Vault k načtení tajných kódů MACsec.
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Podpora integrace a úložiště přihlašovacích údajů a tajných kódů služby v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zajistěte, aby tajné kódy a přihlašovací údaje byly uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne vkládejte je do kódu nebo konfiguračních souborů.
Referenční informace: Konfigurace šifrování MACsec pro ExpressRoute Direct
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-1: Oddělte a omezte vysoce privilegované uživatele nebo uživatele s oprávněními pro správu.
Funkce
Místní účty Správa
Popis: Služba má koncept místního účtu pro správu. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Ochrana dat
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Ke zjišťování a klasifikaci dat ve službě je možné použít nástroje (například Azure Purview nebo Azure Information Protection). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
DP-2: Monitorování anomálií a hrozeb cílených na citlivá data
Funkce
Ochrana před únikem nebo ztrátou dat
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
DP-3: Šifrování citlivých dat při přenosu
Funkce
Šifrování přenášených dat
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: S protokolem IPsec přes privátní partnerské vztahy ExpressRoute můžou zákazníci nakonfigurovat připojení VPN a spravovat konfiguraci tak, aby si služby ExpressRoute a brány VPN vyměňovaly trasy. Šifrování se ale stále podporuje jenom u připojení VPN, nikoli v ExpressRoute.
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny zákaznické certifikáty. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Správa aktiv
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Protokolování a detekce hrozeb
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení funkcí detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
LT-4: Povolení protokolování pro účely šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Povolte protokoly prostředků pro službu. Například Key Vault podporuje další protokoly prostředků pro akce, které získávají tajný kód z trezoru klíčů, nebo Azure SQL obsahuje protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
Referenční informace: Monitorování Azure ExpressRoute
Backup a obnovení
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Schopnost zálohování nativní služby
Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Microsoft v současné době neobsahuje žádné pokyny ke konfiguraci této funkce. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Použití sítě VPN S2S jako zálohy pro privátní partnerské vztahy ExpressRoute
Další kroky
- Podívejte se na přehled srovnávacího testu cloudového zabezpečení Microsoftu.
- Další informace o základních úrovních zabezpečení Azure