Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Model nulové důvěryhodnosti předpokládá porušení zabezpečení a ověřuje každý požadavek, jako by pochází z nekontrolovatelné sítě. Služby zabezpečení sítě Azure hrají důležitou roli při vynucování principů nulové důvěryhodnosti kontrolou, filtrováním a protokolováním provozu v cloudovém prostředí.
Následující doporučení vám pomůžou vyhodnotit a posílit stav zabezpečení sítě Azure. Každé doporučení odkazuje na podrobného průvodce popisujícího kontrolu zabezpečení, úroveň rizika a nápravné kroky.
Návod
Některé organizace můžou tato doporučení brát přesně tak, jak jsou napsaná, zatímco jiné se můžou rozhodnout provádět změny na základě vlastních obchodních potřeb. Pokud je to možné, doporučujeme implementovat všechny následující ovládací prvky. Tyto vzory a postupy pomáhají poskytnout základ zabezpečeného síťového prostředí Azure. Do tohoto dokumentu se v průběhu času přidají další ovládací prvky.
Automatizované hodnocení
Ruční kontrola těchto pokynů v konfiguraci vašeho prostředí může být časově náročná a náchylná k chybám. Posouzení Zero Trust tento proces transformuje pomocí automatizace a otestuje tyto položky konfigurace zabezpečení a další. Další informace najdete v Co je posouzení Zero Trust?
Azure DDoS Protection
Azure DDoS Protection chrání vaše veřejně přístupné prostředky před distribuovanými útoky na dostupnost služby. Následující doporučení ověřují, že je povolená a správně monitorovaná ochrana před útoky DDoS.
Další informace najdete v tématu Doporučení nulové důvěryhodnosti pro Azure DDoS Protection.
| Recommendation | Úroveň rizika | Dopad na uživatele | Náklady na implementaci |
|---|---|---|---|
| Ochrana před útoky DDoS je povolená pro všechny veřejné IP adresy ve virtuálních sítích. | Vysoko | Nízká úroveň | Nízká úroveň |
| Metriky jsou povolené pro veřejné IP adresy chráněné před útoky DDoS. | Středně | Nízká úroveň | Nízká úroveň |
| Protokolování diagnostiky je povolené pro veřejné IP adresy chráněné před útoky DDoS. | Středně | Nízká úroveň | Nízká úroveň |
Azure Firewall
Azure Firewall poskytuje centralizované vynucování zásad zabezpečení sítě a protokolování napříč vašimi virtuálními sítěmi. Následující doporučení ověřují, že jsou aktivní funkce ochrany klíčů.
Další informace najdete v tématu Doporučení nulové důvěryhodnosti pro Službu Azure Firewall.
| Recommendation | Úroveň rizika | Dopad na uživatele | Náklady na implementaci |
|---|---|---|---|
| Odchozí provoz z úloh integrovaných do virtuální sítě se směruje přes Azure Firewall. | Vysoko | Nízká úroveň | Středně |
| Threat intelligence je zapnutý v režimu blokování na Azure Firewall | Vysoko | Nízká úroveň | Nízká úroveň |
| kontrola IDPS je zapnutá v odmítacím režimu na Azure Firewallu | Vysoko | Nízká úroveň | Nízká úroveň |
| Kontrola odchozího provozu TLS je povolená ve službě Azure Firewall | Vysoko | Nízká úroveň | Nízká úroveň |
| Protokolování diagnostiky je povolené ve službě Azure Firewall | Vysoko | Nízká úroveň | Nízká úroveň |
Application Gateway WAF
Azure Web Application Firewall ve službě Application Gateway chrání webové aplikace před běžným zneužitím a ohrožením zabezpečení. Následující doporučení ověřují, že je WAF správně nakonfigurovaný a monitorovaný.
Další informace najdete v tématu Doporučení nulové důvěryhodnosti pro WAF služby Application Gateway.
| Recommendation | Úroveň rizika | Dopad na uživatele | Náklady na implementaci |
|---|---|---|---|
| Application Gateway WAF je povolený v režimu prevence | Vysoko | Nízká úroveň | Nízká úroveň |
| Kontrola těla požadavku je ve WAF služby Application Gateway povolena. | Vysoko | Nízká úroveň | Nízká úroveň |
| Výchozí sada pravidel je povolená ve WAF služby Application Gateway | Vysoko | Nízká úroveň | Nízká úroveň |
| V službě Application Gateway WAF je povolena a přiřazena sada pravidel ochrany proti robotům | Vysoko | Nízká úroveň | Nízká úroveň |
| Sada pravidel ochrany před útoky HTTP DDoS je povolená ve WAF služby Application Gateway. | Vysoko | Nízká úroveň | Nízká úroveň |
| Omezení rychlosti je aktivní ve WAF Application Gateway. | Vysoko | Nízká úroveň | Středně |
| Úloha JavaScriptu je povolená ve WAF služby Application Gateway | Středně | Nízká úroveň | Nízká úroveň |
| Diagnostické protokolování je zapnuto v Application Gateway WAF | Vysoko | Nízká úroveň | Nízká úroveň |
Azure Front Door WAF
Azure Web Application Firewall ve službě Front Door chrání webové aplikace na hraniční síti. Následující doporučení ověřují, že je WAF správně nakonfigurovaný a monitorovaný.
Další informace najdete v tématu Doporučení nulové důvěryhodnosti pro WaF služby Azure Front Door.
| Recommendation | Úroveň rizika | Dopad na uživatele | Náklady na implementaci |
|---|---|---|---|
| Azure Front Door WAF je povolený v režimu prevence | Vysoko | Nízká úroveň | Nízká úroveň |
| Kontrola obsahu požadavku je zapnuta ve službě Azure Front Door WAF | Vysoko | Nízká úroveň | Nízká úroveň |
| Ve WAFu Azure Front Door je přiřazena výchozí sada pravidel | Vysoko | Nízká úroveň | Nízká úroveň |
| Sada pravidel ochrany proti botům je povolená a přiřazená v Azure Front Door WAF | Vysoko | Nízká úroveň | Nízká úroveň |
| Omezení rychlosti je povolené ve službě Azure Front Door WAF | Vysoko | Nízká úroveň | Středně |
| Výzva JavaScriptu je povolena ve WAF systému Azure Front Door | Středně | Nízká úroveň | Nízká úroveň |
| Výzva CAPTCHA je povolená ve WAF služby Azure Front Door | Středně | Nízká úroveň | Nízká úroveň |
| Protokolování diagnostiky je povolené ve službě Azure Front Door WAF | Vysoko | Nízká úroveň | Nízká úroveň |