Punkt odniesienia zabezpieczeń platformy Azure dla programu Azure Firewall Manager
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do programu Azure Firewall Manager. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące Azure Firewall Manager.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. definicje Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie Microsoft Defender dla portalu w chmurze.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami porównawczymi i zaleceniami dotyczącymi zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje nie dotyczy Azure Firewall Manager zostały wykluczone. Aby zobaczyć, jak menedżer Azure Firewall całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń menedżera Azure Firewall Manager.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań związanych z wysokim wpływem Azure Firewall Manager, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
Atrybut zachowania usługi | Wartość |
---|---|
Product Category | Sieć, zabezpieczenia |
Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
Usługę można wdrożyć w sieci wirtualnej klienta | Fałsz |
Przechowuje zawartość klienta magazynowanych | Fałsz |
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zarządzanie tożsamościami.
IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Azure AD uwierzytelnianie wymagane do uzyskania dostępu do płaszczyzny danych
Opis: Usługa obsługuje korzystanie z uwierzytelniania Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
---|---|---|
Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Ochrona danych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: ochrona danych.
DP-3: Szyfrowanie poufnych danych przesyłanych
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa obsługuje szyfrowanie danych przesyłanych dla płaszczyzny danych. Dowiedz się więcej.
Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
---|---|---|
Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Szyfrowanie danych przesyłanych domyślnie
DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
---|---|---|
Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: wybierz certyfikat urzędu certyfikacji przechowywany w usłudze Azure Key Vault w zasadach Zapory — wersja Premium, dzięki czemu można włączyć Azure Firewall na potrzeby inspekcji protokołu TLS.
Dokumentacja: Konfigurowanie certyfikatu w zasadach
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.
Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
---|---|---|
Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Usługa Azure Monitor umożliwia tworzenie alertów w przypadku wykrycia odchylenia konfiguracji w zasobach. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację między zasobami platformy Azure.
Dokumentacja: Samouczek: tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.
Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
---|---|---|
Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: Azure Firewall Manager nie ma własnego dziennika zasobów. Wszystkie dzienniki diagnostyczne są osadzone w standardowym dzienniku zasobów Azure Firewall.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Tworzenie i przywracanie kopii zapasowych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnianie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
---|---|---|
Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Możliwość tworzenia natywnej kopii zapasowej usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używa Azure Backup). Dowiedz się więcej.
Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
---|---|---|
Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: Azure Firewall Manager nie ma natywnej możliwości tworzenia kopii zapasowej, ale istnieje możliwość wyeksportowania wszystkich ustawień konfiguracji przy użyciu szablonu usługi ARM.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.