Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Tento směrný plán zabezpečení vychází z předchozí verze srovnávacího testu Microsoft Cloud Security (v1.0). Aktuální pokyny k zabezpečení pro službu Virtual Network najdete v tématu Zabezpečení virtuální sítě Azure.
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 na virtuální síť. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny vztahujícími se k virtuální síti.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.
Pokud má funkce relevantní definice zásad Azure Policy, jsou uvedeny v této základní linii, což vám pomůže měřit shodu s kontrolními mechanismy a doporučeními bezpečnostního standardu Microsoft Cloud. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka:
Funkce , které se nevztahují na virtuální síť, byly vyloučeny. Pokud chcete zjistit, jak se virtuální síť kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení virtuální sítě.
Profil zabezpečení
Profil zabezpečení shrnuje chování virtuální sítě s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Sítě |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Žádný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Pravdivé |
| Ukládá obsah zákazníka v klidu. | Nepravda |
Zabezpečení sítě
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Features
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby dodržuje pravidla přiřazená skupinám zabezpečení sítě na svých podsítích. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Omezení síťového přístupu k prostředkům
Monitorování cloudu pomocí Microsoft Defenderu
Předdefinované definice azure Policy – Microsoft.Network:
| Název (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě (NSG) obsahují pravidla seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, deaktivováno | 3.0.0 |
Správa identit
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Features
Vyžadováno ověřování Azure AD pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Privilegovaný přístup
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-7: Dodržujte princip minimální správy (princip nejmenších privilegií).
Features
Azure RBAC pro datové rozhraní
Popis: Azure Role-Based řízení přístupu (Azure RBAC) lze použít ke správě přístupu k akcím datové roviny služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Ochrana dat
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Ochrana dat.
DP-3: Šifrování citlivých dat během přenosu
Features
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Správa aktiv
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby.
Features
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defenderu pro cloud nakonfigurujte Azure Policy tak, aby auditovali a vynucovali konfigurace vašich prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace. Pokud chcete vynutit zabezpečenou konfiguraci napříč prostředky Azure, použijte azure Policy [odepřít] a [nasadit, pokud neexistuje].
Referenční informace: Předdefinované definice služby Azure Policy pro azure Virtual Network
Protokolování a detekce hrozeb
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Protokolování a detekce hrozeb.
LT-4: Povolení protokolování pro vyšetřování bezpečnosti
Features
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které mohou nabízet rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Povolte protokoly prostředků pro službu Key Vault například podporuje další protokoly prostředků pro akce, které z trezoru klíčů získávají tajný kód, nebo Azure SQL obsahuje protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
Zálohování a obnovování
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Features
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Další kroky
- Podívejte se na přehled srovnávacího testu zabezpečení cloudu Microsoftu.
- Další informace o standardních hodnotách zabezpečení Azure