Azure-säkerhetsbaslinje för offentlig IP-adress i Azure
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 till Azures offentliga IP-adress. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för azures offentliga IP-adress.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.
Anteckning
Funktioner som inte gäller för offentliga IP-adresser i Azure har exkluderats. Om du vill se hur azures offentliga IP helt mappar till Microsofts prestandamått för molnsäkerhet kan du läsa den fullständiga mappningsfilen för azures offentliga IP-säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar beteendet för offentliga IP-adresser i Azure, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | Nätverk |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Falskt |
| Lagrar kundinnehåll i vila | Falskt |
Nätverkssäkerhet
Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.
NS-1: Upprätta nätverkssegmenteringsgränser
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Offentliga IP-adresser kan skapas och sedan associeras med en resurs i ett virtuellt nätverk.
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Network:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
Privilegierad åtkomst
Mer information finns i Microsofts benchmark för molnsäkerhet: Privilegierad åtkomst.
PA-7: Följ principen för precis tillräcklig administration (lägsta behörighet)
Funktioner
Azure RBAC för dataplan
Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Om du vill hantera offentliga IP-adresser måste ditt konto tilldelas rollen nätverksdeltagare. En anpassad roll stöds också.
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Azure Policy definitioner kan konfigureras för offentliga IP-adresser, till exempel att offentliga IP-adresser måste ha resursloggar aktiverade för Azure DDoS Protection Standard.
Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när det finns en konfigurationsavvikelse som identifieras på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: När du har kritiska program och affärsprocesser som förlitar sig på Azure-resurser vill du övervaka resursernas tillgänglighet, prestanda och drift. Resursloggar samlas inte in och lagras förrän du skapar en diagnostikinställning och skickar dem till en eller flera platser.
Referens: Övervaka offentliga IP-adresser