Standardní hodnoty zabezpečení Azure pro Application Gateway
Tyto standardní hodnoty zabezpečení Application Gateway aplikují pokyny ze srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro Application Gateway.
Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacího testu zabezpečení cloudu Od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce, které se nevztahují na Application Gateway, byly vyloučeny. Pokud chcete zjistit, jak Application Gateway zcela namapovat na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Application Gateway.
Profil zabezpečení shrnuje chování Application Gateway s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
Atribut Chování služby | Hodnota |
---|---|
Kategorie produktu | Sítě |
Zákazník má přístup k hostiteli nebo operačnímu systému. | Zakázaný přístup |
Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
Ukládá obsah zákazníka v klidovém stavu. | Ano |
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zabezpečení sítě.
Popis: Služba podporuje nasazení do privátní Virtual Network (VNet) zákazníka. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: konfigurace infrastruktury Application Gateway
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Skupiny zabezpečení sítě (NSG) slouží k omezení nebo monitorování provozu podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla skupiny zabezpečení sítě, která omezí otevřené porty vaší služby (například zabrání přístupu k portům pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a nástrojů pro vyrovnávání zatížení Azure.
Referenční informace: Skupiny zabezpečení sítě
Azure Policy předdefinovaných definic – Microsoft.Network:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami omezením přístupu k ní pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky.
Referenční informace: Konfigurace Azure Application Gateway Private Link (Preview)
Popis: Služba podporuje zakázání veřejného síťového přístupu buď pomocí pravidla filtrování seznamu ACL protokolu IP na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat veřejný síťový přístup. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Správa Application Gateway vyžaduje omezené veřejné připojení.
Další informace najdete zde: Application Gateway konfigurace infrastruktury.
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa identit.
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: I když se spravované identity z jiných služeb nemusejí ověřovat v Application Gateway, spravovanou identitu může Application Gateway použít k ověření v Azure Key Vault a je volitelná k zadání v době nasazení. Služba respektuje ovládací prvky Azure RBAC.
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Když zákazník nahraje certifikát TLS, automaticky se uloží ve spravované službě Azure Key Vault.
Application Gateway v1 nepodporuje integraci Azure Key Vault. Přihlašovací údaje a certifikáty jsou uložené v jiném úložišti tajných kódů.
Pokyny ke konfiguraci: Zajistěte, aby tajné kódy a přihlašovací údaje byly uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne vkládejte je do kódu nebo konfiguračních souborů.
Referenční informace: Konfigurace Application Gateway s ukončením protokolu TLS pomocí Azure Portal
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Privilegovaný přístup.
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Ochrana dat.
Popis: Ke zjišťování a klasifikaci dat ve službě je možné použít nástroje (například Azure Purview nebo Azure Information Protection). Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Kromě konfigurace prostředků (která zahrnuje certifikáty serveru TLS zákazníka) Application Gateway při proxy zprostředkování požadavků na back-end zákazníka ukládají jenom přechodná data.
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Konfigurační data prostředků zákazníka se vždy přenášejí prostřednictvím kanálů TLS v řídicí rovině. V rovině dat služba umožňuje zákazníkovi zvolit si mezi variantami TCP a TLS. Zákazníci si vybírají podle svých potřeb.
Pokyny ke konfiguraci: Povolte zabezpečený přenos ve službách, kde je integrovaná funkce nativního šifrování přenášených dat. Vynucujte https u všech webových aplikací a služeb a ujistěte se, že se používá protokol TLS verze 1.2 nebo novější. Starší verze, jako je SSL 3.0 nebo TLS v1.0, by měly být zakázané. Pro vzdálenou správu Virtual Machines použijte místo nešifrovaného protokolu SSH (pro Linux) nebo RDP/TLS (pro Windows).
Referenční informace: Přehled ukončení protokolu TLS a koncového protokolu TLS s Application Gateway
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno. Veškerý uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Poznámky k funkcím: Data zákazníka týkající se konfigurace prostředků se ukládají v účtu úložiště s povoleným šifrováním a tajné kódy se ukládají ve spravovaném azure Key Vault. Do Kusto se pro účely analýzy DRI/vývoje odesílají pouze konfigurační data prostředků.
Vzhledem k tomu, že Application Gateway proxy produkt, neukládá provoz dat zákazníka za běhu a jednoduše ho proxy přesměruje do back-endu. Služba má síťový provoz dočasně v nezašifrované podobě v paměti a zároveň ho zprostředkuje do back-endu nebo klienta.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Popis: Služba podporuje integraci Azure Key Vault pro všechny zákaznické certifikáty. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Když zákazník nahraje certifikát TLS, automaticky se uloží ve spravované službě Azure Key Vault.
Application Gateway v1 nepodporuje integraci Azure Key Vault. Přihlašovací údaje a certifikáty jsou uložené v jiném úložišti tajných kódů.
Pokyny ke konfiguraci: Azure Key Vault použijte k vytvoření a řízení životního cyklu certifikátu, včetně jeho vytvoření, importu, obměně, odvolání, ukládání a mazání certifikátu. Ujistěte se, že generování certifikátů odpovídá definovaným standardům bez použití nezabezpečených vlastností, jako jsou: nedostatečná velikost klíče, příliš dlouhá doba platnosti, nezabezpečená kryptografie. Nastavte automatickou obměnu certifikátu v Azure Key Vault a ve službě Azure (pokud se podporuje) na základě definovaného plánu nebo v případě vypršení platnosti certifikátu. Pokud aplikace nepodporuje automatickou rotaci, ujistěte se, že se ve službě Azure Key Vault a v aplikaci stále obměňují pomocí ručních metod.
Referenční informace: Ukončení protokolu TLS s certifikáty Key Vault
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa prostředků.
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Služby Application Gateway se zřídí ve virtuální síti zákazníka a bez určitých výjimek potřebných pro provoz správy může zákazník použít všechny potřebné zásady Azure ve virtuální síti.
Pokyny ke konfiguraci: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy k auditování a vynucování konfigurací prostředků Azure. Azure Monitor použijte k vytváření upozornění v případech, kdy se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [zamítnout] a [nasadit, pokud neexistuje].
Referenční informace: Azure Policy předdefinované definice síťových služeb Azure
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Protokolování a detekce hrozeb.
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Povolte protokoly prostředků pro službu. Například Key Vault podporuje další protokoly prostředků pro akce, které získávají tajný kód z trezoru klíčů, nebo Azure SQL obsahuje protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
Referenční informace: Protokoly stavu back-endu a diagnostické protokoly pro Application Gateway
- Podívejte se na přehled srovnávacího testu cloudového zabezpečení Microsoftu.
- Další informace o základních úrovních zabezpečení Azure