Sdílet prostřednictvím


Standardní hodnoty zabezpečení Azure pro Network Watcher

Tyto standardní hodnoty zabezpečení při Network Watcher aplikují pokyny ze srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejících pokynů platných pro Network Watcher.

Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.

Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacího testu zabezpečení cloudu Od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Funkce, které se nevztahují na Network Watcher, byly vyloučeny. Pokud chcete zjistit, jak Network Watcher zcela namapovat na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Network Watcher.

Profil zabezpečení

Profil zabezpečení shrnuje chování Network Watcher s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.

Atribut Chování služby Hodnota
Kategorie produktu Sítě
Zákazník má přístup k hostiteli nebo operačnímu systému. Zakázaný přístup
Službu je možné nasadit do virtuální sítě zákazníka. Ne
Ukládá obsah zákazníka v klidovém stavu. Ne

Správa identit

Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa identit.

IM-1: Použití centralizovaného systému identit a ověřování

Funkce

Azure AD ověřování vyžadované pro přístup k rovině dat

Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Jako výchozí metodu ověřování pro přístup k datům Network Watcher použijte Azure Active Directory (Azure AD). Network Watcher má několik předdefinovaných rolí Azure RBAC, které umožňují podrobné řízení přístupových oprávnění.

Referenční informace: Oprávnění řízení přístupu na základě role v Azure potřebná k používání možností Network Watcher

IM-7: Omezení přístupu k prostředkům na základě podmínek

Funkce

Podmíněný přístup pro rovinu dat

Popis: Přístup k rovině dat je možné řídit pomocí Azure AD zásad podmíněného přístupu. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.

Privilegovaný přístup

Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Privilegovaný přístup.

PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)

Funkce

Azure RBAC pro rovinu dat

Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Network Watcher má několik předdefinovaných rolí Azure RBAC, které uživatelům umožňují podrobnou kontrolu nad oprávněními založenými na rolích pro přístup k Network Watcher.

Referenční informace: Oprávnění řízení přístupu na základě role v Azure potřebná k používání možností Network Watcher

Ochrana dat

Další informace najdete v článku Microsoft Cloud Security Benchmark: Ochrana dat.

DP-3: Šifrování citlivých dat při přenosu

Funkce

Šifrování přenášených dat

Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.

Referenční informace: Přenášená data

DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení

Funkce

Šifrování neaktivních uložených dat pomocí klíčů platformy

Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje. Veškerý neaktivní uložený zákaznický obsah se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Poznámky k funkcím: Azure Network Watcher neukládá neaktivní uložená data zákazníků s výjimkou služby Monitorování připojení, která je ukládá do pracovního prostoru služby Log Analytics podle výběru zákazníka.

Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.

Správa aktiv

Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa prostředků.

AM-2: Používejte pouze schválené služby

Funkce

Podpora služby Azure Policy

Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy k auditování a vynucování konfigurací prostředků Azure. Azure Monitor použijte k vytváření upozornění v případech, kdy se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [zamítnout] a [nasadit, pokud neexistuje].

Referenční informace: Azure Policy předdefinovaných definic pro Azure Virtual Network

Protokolování a detekce hrozeb

Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Protokolování a detekce hrozeb.

LT-1: Povolení funkcí detekce hrozeb

Funkce

Microsoft Defender pro službu / nabídku produktů

Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.

LT-4: Povolení protokolování pro účely šetření zabezpečení

Funkce

Protokoly prostředků Azure

Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.

Další kroky