Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf Azure Front Door an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für Azure Front Door definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Features
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Unterstützung von Netzwerksicherheitsgruppen
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern.
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Features
Azure Private Link
Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall).
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Konfigurationsleitfaden: Stellen Sie private Endpunkte für alle Azure-Ressourcen bereit, die das feature Private Link unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren".
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Features
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Features
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Konfigurationsleitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Features
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Aktionen der Datenebene des Diensts verwendet werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimnisse oder Zertifikate.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder bei einem Ausfall oder einer Kompromittierung des Schlüssels. Wenn der kundenseitig verwaltete Schlüssel (Customer Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, sollten Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs des Diensts oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) für den Dienst verwenden müssen (z. B. das Importieren von HSM-geschützten Schlüsseln von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Features
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung, Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer, unsichere Kryptografie. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault und des Azure-Diensts (sofern unterstützt) basierend auf einem definierten Zeitplan oder beim Ablauf des Zertifikats ein. Wenn die automatische Rotation in der Anwendung nicht unterstützt wird, stellen Sie sicher, dass sie weiterhin mithilfe manueller Methoden in Azure Key Vault und der Anwendung gedreht werden.
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [Bereitstellen, falls nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erstellt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für Front Door, damit Sie auf die Protokolle wie Front Door Web Application Firewall Protokolle und Front Door-Zugriffsprotokolle zugreifen können.
Hier erfahren Sie Folgendes: Filterung von Netzwerkdatenverkehr mit Netzwerksicherheitsgruppen, Einrichten von Microsoft Defender for Cloud, Erstellen eines Log Analytics-Arbeitsbereichs, Konfigurieren der Log Analytics-Agent-Integration, Netzwerkfunktionen von Azure Key Vault und Verbinden einer Azure SQL Server-Instanz über einen privaten Azure-Endpunkt im Azure-Portal. Verbessern Sie effektiv die Cloudsicherheit. (SC-5002)
Weitere Informationen finden Sie unter Entwurfsüberlegungen und Konfigurationsempfehlungen für Azure Well-Architected Framework, die für Azure Front Door relevant sind.