Punkt odniesienia zabezpieczeń platformy Azure dla Application Gateway
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do Application Gateway. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące Application Gateway.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. definicje Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie Microsoft Defender dla portalu w chmurze.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami porównawczymi i zaleceniami dotyczącymi zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje, które nie mają zastosowania do Application Gateway zostały wykluczone. Aby dowiedzieć się, jak Application Gateway całkowicie mapować na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Application Gateway.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań związanych z wysokim wpływem Application Gateway, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Product Category | Sieć |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Prawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: konfiguracja infrastruktury Application Gateway
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jego podsieciach. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie uzyskiwaniu dostępu do portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie sieciowe grupy zabezpieczeń odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i usług Azure Load Balancers.
Dokumentacja: Sieciowe grupy zabezpieczeń
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Network:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy Access Control list (ACL), które zezwalają na ruch sieciowy do podsieci lub zezwalają na nie. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Link prywatny platformy Azure
Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure obsługujących funkcję Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów.
Dokumentacja: Konfigurowanie Azure Application Gateway Private Link (wersja zapoznawcza)
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: Wymagana jest ograniczona łączność publiczna do zarządzania Application Gateway.
Aby uzyskać więcej informacji, odwiedź stronę: Application Gateway konfiguracja infrastruktury
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zarządzanie tożsamościami.
IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Azure AD uwierzytelnianie wymagane do uzyskania dostępu do płaszczyzny danych
Opis: Usługa obsługuje korzystanie z uwierzytelniania Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Im-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Tożsamości zarządzane
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: Mimo że tożsamości zarządzane z innych usług mogą nie uwierzytelniać się w Application Gateway, tożsamość zarządzana może być używana przez Application Gateway do uwierzytelniania w usłudze Azure Key Vault i jest opcjonalna do określenia w czasie wdrażania. Usługa honoruje mechanizmy kontroli RBAC platformy Azure.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Im-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych
Funkcje
Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych w usłudze Azure Key Vault
Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Gdy klient przekaże certyfikat TLS, jest on automatycznie przechowywany w zarządzanej usłudze Azure Key Vault.
Application Gateway v1 nie obsługuje integracji z usługą Azure Key Vault. Poświadczenia i certyfikaty są przechowywane w innym magazynie wpisów tajnych.
Wskazówki dotyczące konfiguracji: Upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzać je w plikach kodu lub konfiguracji.
Dokumentacja: Konfigurowanie Application Gateway z kończeniem szyfrowania TLS przy użyciu Azure Portal
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Ochrona danych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: oprócz konfiguracji zasobów (która obejmuje certyfikaty serwera TLS klienta), Application Gateway przechowuje tylko dane przejściowe podczas proxy żądań do zaplecza klientów.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
Funkcje
Zapobieganie wyciekom/utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych przesyłanych
Funkcje
Dane w szyfrowaniu tranzytowym
Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: dane konfiguracji zasobów klienta są zawsze transportowane za pośrednictwem kanałów TLS na płaszczyźnie sterowania. W przypadku płaszczyzny danych usługa umożliwia klientowi wybór wariantów protokołu TCP i TLS. Klienci wybierają zależnie od własnych potrzeb.
Wskazówki dotyczące konfiguracji: Włącz bezpieczny transfer w usługach, w których wbudowana jest funkcja natywnego szyfrowania danych przesyłanych. Wymuś protokół HTTPS dla dowolnych aplikacji internetowych i usług i upewnij się, że jest używany protokół TLS w wersji 1.2 lub nowszej. Starsze wersje, takie jak SSL 3.0, tls v1.0 powinny być wyłączone. W przypadku zdalnego zarządzania Virtual Machines należy użyć protokołu SSH (dla systemu Linux) lub RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.
Dokumentacja: Omówienie kończenia żądań protokołu TLS i kompleksowego szyfrowania TLS przy użyciu Application Gateway
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: dane klienta dotyczące konfiguracji zasobów są przechowywane na koncie magazynu z włączoną obsługą szyfrowania, a wpisy tajne są przechowywane w zarządzanej usłudze Azure Key Vault. Tylko dane konfiguracji zasobów są wysyłane do usługi Kusto na potrzeby analizy drI/dev Analytics.
Ponieważ Application Gateway jest produktem proxy, nie przechowuje ruchu danych środowiska uruchomieniowego klienta i po prostu serwer proxy go do zaplecza. Usługa tymczasowo ma ruch sieciowy w niezaszyfrowanej postaci w pamięci podczas serwera proxy do zaplecza/klienta.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację Key Vault platformy Azure dla dowolnych kluczy klienta, wpisów tajnych lub certyfikatów. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault dla wszystkich certyfikatów klienta. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Gdy klient przekaże certyfikat TLS, jest on automatycznie przechowywany w zarządzanej usłudze Azure Key Vault.
Application Gateway v1 nie obsługuje integracji z usługą Azure Key Vault. Poświadczenia i certyfikaty są przechowywane w innym magazynie wpisów tajnych.
Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia certyfikatu, w tym tworzenie, importowanie, rotację, odwoływanie, przechowywanie i czyszczenie certyfikatu. Upewnij się, że generowanie certyfikatów jest zgodne ze zdefiniowanymi standardami bez używania niezabezpieczonych właściwości, takich jak: niewystarczający rozmiar klucza, zbyt długi okres ważności, niepewna kryptografia. Skonfiguruj automatyczną rotację certyfikatu w usłudze Azure Key Vault i usłudze platformy Azure (jeśli jest obsługiwana) na podstawie zdefiniowanego harmonogramu lub wygaśnięcia certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji, upewnij się, że nadal są obracane przy użyciu metod ręcznych w usłudze Azure Key Vault i aplikacji.
Dokumentacja: kończenie żądań protokołu TLS przy użyciu certyfikatów Key Vault
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używaj tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: usługa Application Gateway jest aprowizowana w sieci wirtualnej klienta i, z wyłączeniem niektórych wykluczeń wymaganych do ruchu związanego z zarządzaniem, klient może zastosować wszystkie wymagane zasady platformy Azure w sieci wirtualnej.
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do inspekcji i wymuszania konfiguracji zasobów platformy Azure. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje] efekty, aby wymusić bezpieczną konfigurację między zasobami platformy Azure.
Dokumentacja: Azure Policy wbudowane definicje usług sieciowych platformy Azure
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Microsoft Defender dla usługi/oferty produktu
Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Włączanie dzienników zasobów dla usługi. Na przykład Key Vault obsługuje dodatkowe dzienniki zasobów dla akcji, które pobierają wpis tajny z magazynu kluczy lub Azure SQL zawiera dzienniki zasobów śledzące żądania do bazy danych. Zawartość dzienników zasobów różni się w zależności od typu usługi i zasobu platformy Azure.
Dokumentacja: Dzienniki kondycji zaplecza i diagnostyczne dla Application Gateway