Partilhar via


Linha de base de segurança do Azure para o NAT Gateway do Azure

Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 ao NAT Gateway do Azure. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao NAT Gateway do Azure.

Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.

Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Nota

As funcionalidades não aplicáveis ao NAT Gateway do Azure foram excluídas. Para ver como o Azure NAT Gateway mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança do Azure NAT Gateway.

Perfil de segurança

O perfil de segurança resume os comportamentos de alto impacto do NAT Gateway do Azure, o que pode resultar em considerações de segurança acrescidas.

Atributo comportamento do serviço Valor
Product Category (Categoria de Produto) Rede
O cliente pode aceder ao HOST/SO Sem Acesso
O serviço pode ser implementado na rede virtual do cliente Verdadeiro
Armazena o conteúdo do cliente inativo Falso

Segurança da rede

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Funcionalidades

Integração da Rede Virtual

Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: implemente o serviço numa rede virtual. Atribua IPs privados ao recurso (quando aplicável), a menos que exista um motivo forte para atribuir IPs públicos diretamente ao recurso.

Referência: Início Rápido: Criar um gateway NAT com o portal do Azure

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.Network:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As sub-redes devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede contra potenciais ameaças ao restringir o acesso à mesma com um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede para a sub-rede. AuditIfNotExists, Desativado 3.0.0

Gestão de identidades

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.

IM-1: utilizar o sistema de autenticação e identidade centralizado

Funcionalidades

Autenticação Azure AD Necessária para o Acesso ao Plano de Dados

Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Gestão de ativos

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de recursos.

AM-2: Utilizar apenas serviços aprovados

Funcionalidades

Suporte do Azure Policy

Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: não existem orientações atuais da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.

Referência: Políticas Incorporadas - Rede

Deteção de registo e de ameaça

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.

LT-4: Ativar o registo para investigação de segurança

Funcionalidades

Registos de Recursos do Azure

Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Notas de funcionalidades: o serviço fornece outras capacidades de registo, como registos de Métricas e Informações.

Para obter mais informações, visite métricas e alertas do NAT Gateway do Azure.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Passos seguintes