Базовый план безопасности Azure для Приватного канала Azure
Этот базовый план безопасности применяет рекомендации из microsoft cloud security benchmark версии 1.0 для Приватный канал Azure. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в тесте производительности облачной безопасности Майкрософт и соответствующем руководстве, применимом к Приватный канал Azure.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если функция имеет релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Примечание
Функции, неприменимые к Приватный канал Azure, были исключены. Чтобы узнать, как Приватный канал Azure полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности Приватный канал Azure.
Профиль безопасности
Профиль безопасности обобщает поведение Приватный канал Azure с высокой степенью влияния, что может привести к повышению уровня безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | Сеть |
| Клиент может получить доступ к HOST или ОС | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | True |
| Хранит неактивный контент клиента | Неверно |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справка. Краткое руководство. Создание частной конечной точки с помощью портал Azure
Поддержка групп безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по конфигурации. Используйте группы безопасности сети (NSG) для ограничения или мониторинга трафика по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Имейте в виду, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.
Справочник. Управление политиками сети для частных конечных точек
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Network.
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Приватный канал Azure
Описание: возможность фильтрации ip-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации ACL ip-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях: Приватный канал Azure позволяет получать доступ к службам Azure PaaS (например, службе хранилища Azure и База данных SQL) и размещенным в Azure службам клиентов или партнеров через частную конечную точку в виртуальной сети. Таким образом, обмен данными между общедоступными сетями неприменим для этой службы.
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справка. Что такое Приватный канал Azure?
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure [запрет] и [развертывание, если не существует] для обеспечения безопасной конфигурации в ресурсах Azure.
Справочник. Политика Azure встроенных определений политик
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-4. Включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.