Partager via


Base de référence de sécurité Azure pour Azure Firewall Manager

Cette base de référence de sécurité applique les instructions du benchmark de sécurité cloud Microsoft version 1.0 à Pare-feu Azure Manager. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables à Pare-feu Azure Manager.

Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire de la page du portail Microsoft Defender pour le cloud.

Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux recommandations et contrôles de référence de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les fonctionnalités non applicables à Pare-feu Azure Manager ont été exclues. Pour voir comment Pare-feu Azure Manager est entièrement mappé au benchmark de sécurité cloud Microsoft, consultez le fichier complet de mappage de la base de référence de sécurité Pare-feu Azure Manager.

Profil de sécurité

Le profil de sécurité résume les comportements à impact élevé de Pare-feu Azure Manager, ce qui peut entraîner des considérations de sécurité accrues.

Attribut de comportement du service Valeur
Catégorie de produit Mise en réseau, sécurité
Le client peut accéder à HOST/OS Aucun accès
Le service peut être déployé dans le réseau virtuel du client False
Stocke le contenu client au repos False

Gestion des identités

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.

IM-1 : utiliser le système centralisé d’identité et d’authentification

Fonctionnalités

Azure AD Authentication requis pour l’accès au plan de données

Description : Le service prend en charge l’utilisation de l’authentification Azure AD pour l’accès au plan de données. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Protection des données

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.

DP-3 : chiffrer les données sensibles en transit

Fonctionnalités

Chiffrement des données en transit

Description : Le service prend en charge le chiffrement des données en transit pour le plan de données. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True Vrai Microsoft

Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

Référence : Chiffrement des données en transit par défaut

DP-7 : utiliser un processus de gestion des certificats sécurisé

Fonctionnalités

Gestion des certificats dans Azure Key Vault

Description : Le service prend en charge l’intégration d’Azure Key Vault pour tous les certificats clients. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
Vrai False Customer

Conseils de configuration : Sélectionnez un certificat d’autorité de certification stocké dans Azure Key Vault dans votre stratégie Pare-feu Premium afin de pouvoir activer Pare-feu Azure pour l’inspection TLS.

Référence : Configurer un certificat dans votre stratégie

Gestion des ressources

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des ressources.

AM-2 : Utiliser uniquement des services approuvés

Fonctionnalités

Prise en charge d’Azure Policy

Description : Les configurations de service peuvent être surveillées et appliquées via Azure Policy. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
Vrai False Customer

Conseils de configuration : Utilisez Microsoft Defender pour le cloud pour configurer Azure Policy afin d’auditer et d’appliquer des configurations de vos ressources Azure. Utilisez Azure Monitor pour créer des alertes en cas d’écart de configuration détecté sur les ressources. Utilisez les effets Azure Policy [refuser] et [déployer s’il n’existe pas] pour appliquer une configuration sécurisée sur les ressources Azure.

Référence : Tutoriel : Créer et gérer des stratégies pour appliquer la conformité

Journalisation et détection des menaces

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Journalisation et détection des menaces.

LT-4 : Activer la journalisation pour l’examen de sécurité

Fonctionnalités

Journaux des ressources Azure

Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation améliorées spécifiques au service. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Remarques sur les fonctionnalités : Pare-feu Azure Manager n’a pas de journal des ressources propre. Tous les journaux de diagnostic sont incorporés dans le journal des ressources standard Pare-feu Azure.

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Sauvegarde et récupération

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatiques régulières

Fonctionnalités

Sauvegarde Azure

Description : le service peut être sauvegardé par le service Sauvegarde Azure. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Fonctionnalité de sauvegarde native du service

Description : le service prend en charge sa propre fonctionnalité de sauvegarde native (s’il n’utilise pas Sauvegarde Azure). Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Remarques sur les fonctionnalités : Pare-feu Azure Manager n’a pas de fonctionnalité de sauvegarde native, mais vous avez la possibilité d’exporter tous les paramètres de configuration à l’aide d’un modèle ARM.

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Étapes suivantes