Standardní hodnoty zabezpečení Azure pro VPN Gateway
Tento směrný plán zabezpečení aplikuje na VPN Gateway pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejících pokynů platných pro VPN Gateway.
Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacího testu zabezpečení cloudu Od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce, které se nevztahují na VPN Gateway, byly vyloučeny. Pokud chcete zjistit, jak VPN Gateway zcela namapovat na srovnávací test zabezpečení cloudu Od Microsoftu, podívejte se na úplný soubor VPN Gateway mapování standardních hodnot zabezpečení.
Profil zabezpečení shrnuje chování VPN Gateway s vysokým dopadem, které může mít za následek zvýšené aspekty zabezpečení.
Atribut Chování služby | Hodnota |
---|---|
Kategorie produktu | Sítě |
Zákazník má přístup k hostiteli nebo operačnímu systému. | Zakázaný přístup |
Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
Ukládá obsah zákazníka v klidovém stavu. | Ne |
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zabezpečení sítě.
Popis: Služba podporuje nasazení do privátní Virtual Network (VNet) zákazníka. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Kurz: Vytvoření a správa brány VPN pomocí Azure Portal
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Azure Policy předdefinovaných definic – Microsoft.Network:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami omezením přístupu k ní pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa identit.
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Použijte Azure Active Directory (Azure AD) jako výchozí metodu ověřování k řízení přístupu k rovině dat.
Referenční informace: Konfigurace tenanta Azure AD a konfigurace P2S pro VPN Gateway připojení P2S
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Popis: Přístup k rovině dat je možné řídit pomocí Azure AD zásad podmíněného přístupu. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
Referenční informace: Povolení vícefaktorového ověřování (MFA) Azure AD pro uživatele sítě VPN
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Privilegovaný přístup.
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Další informace najdete v článku Microsoft Cloud Security Benchmark: Ochrana dat.
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Co je Azure VPN Gateway?
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje. Veškerý neaktivní uložený zákaznický obsah se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Popis: Služba podporuje integraci azure Key Vault pro všechny zákaznické certifikáty. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa prostředků.
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Existují dvě definované zásady:
- Brány Azure VPN Gateway by neměly používat skladovou položku Basic.
- Brány VPN gateway by měly používat pouze ověřování Azure Active Directory (Azure AD) pro uživatele typu point-to-site.
Pokyny ke konfiguraci: Pro konfiguraci této funkce nejsou k dispozici žádné aktuální pokyny microsoftu. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Azure Policy předdefinovaných definic pro síťové služby Azure
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Protokolování a detekce hrozeb.
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Zálohování a obnovení.
Popis: Službu může zálohovat služba Azure Backup. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
- Podívejte se na přehled srovnávacích testů zabezpečení cloudu Microsoftu.
- Další informace o základních úrovních zabezpečení Azure