Sdílet prostřednictvím


Standardní hodnoty zabezpečení Azure pro Azure NAT Gateway

Tento standardní plán zabezpečení použije pokyny z srovnávacího testu cloudového zabezpečení Microsoftu verze 1.0 na Azure NAT Gateway. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů týkajících se služby Azure NAT Gateway.

Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.

Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů a doporučení srovnávacích testů zabezpečení cloudu od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Funkce , které se nevztahují na službu Azure NAT Gateway, byly vyloučeny. Pokud chcete zjistit, jak se služba Azure NAT Gateway zcela mapuje na srovnávací test zabezpečení cloudu Microsoftu, projděte si úplný soubor mapování standardních hodnot zabezpečení služby Azure NAT Gateway.

Profil zabezpečení

Profil zabezpečení shrnuje chování služby Azure NAT Gateway s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.

Atribut chování služby Hodnota
Kategorie produktu Sítě
Zákazník má přístup k hostiteli nebo operačnímu systému Zakázaný přístup
Službu je možné nasadit do virtuální sítě zákazníka. Ano
Ukládá obsah zákazníka v klidovém stavu. Ne

Zabezpečení sítě

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Zabezpečení sítě.

NS-1: Vytvoření hranic segmentace sítě

Funkce

Integrace virtuální sítě

Popis: Služba podporuje nasazení do privátní Virtual Network zákazníka (VNet). Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Nasaďte službu do virtuální sítě. Přiřaďte k prostředku privátní IP adresy (tam, kde je to možné), pokud neexistuje silný důvod k přiřazení veřejných IP adres přímo k prostředku.

Referenční informace: Rychlý start: Vytvoření služby NAT Gateway pomocí Azure Portal

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinovaných definic – Microsoft.Network:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami omezením přístupu k ní pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. AuditIfNotExists, Zakázáno 3.0.0

Správa identit

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa identit.

IM-1: Použití centralizované identity a ověřovacího systému

Funkce

Azure AD ověřování vyžadované pro přístup k rovině dat

Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Správa aktiv

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa prostředků.

AM-2: Používejte jenom schválené služby

Funkce

Podpora služby Azure Policy

Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pro konfiguraci této funkce nejsou k dispozici žádné aktuální pokyny microsoftu. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.

Referenční informace: Předdefinované zásady – Síť

Protokolování a detekce hrozeb

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Protokolování a detekce hrozeb.

LT-4: Povolení protokolování pro šetření zabezpečení

Funkce

Protokoly prostředků Azure

Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Poznámky k funkcím: Služba poskytuje další možnosti protokolování, jako jsou metriky a protokoly přehledů.

Další informace najdete v tématu Metriky a upozornění služby Azure NAT Gateway.

Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.

Další kroky