Azure-Sicherheitsbaseline für Azure Public IP

Diese Sicherheitsbasis wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Azure Public IP an. Der Microsoft-Cloudsicherheits-Benchmark bietet Empfehlungen darüber, wie Sie Ihre Cloudlösungen in Azure sichern können. Der Inhalt wird durch die sicherheitsrelevanten Steuerelemente gruppiert, die durch den Microsoft-Cloudsicherheits-Benchmark und die entsprechenden Anleitungen für Azure Public IP definiert sind.

Sie können diese Sicherheitsbasis und ihre Empfehlungen mithilfe von Microsoft Defender für Cloud überwachen. Azure Policy Definitionen werden im Abschnitt "Regulatorische Compliance" des Microsoft Defender für Cloud-Dashboard aufgeführt.

Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft-Cloudsicherheits-Benchmarksteuerelemente und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.

Hinweis

Features , die nicht für Azure Public IP gelten, wurden ausgeschlossen. Informationen dazu, wie Azure Public IP vollständig dem Microsoft-Cloudsicherheits-Benchmark zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei für öffentliche IP-Sicherheit.

Sicherheitsprofil

Das Sicherheitsprofil fasst hohe Auswirkungen auf das Verhalten von Azure Public IP zusammen, was zu erhöhten Sicherheitsaspekten führen kann.

Dienstverhaltensattribute Wert
Produktkategorie Netzwerk
Der Kunde kann auf HOST / Betriebssystem zugreifen Kein Zugriff
Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. False
Speichert Kundeninhalte zur Ruhe False

Netzwerksicherheit

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

Features

Virtual Network-Integration

Beschreibung: Service unterstützt die Bereitstellung in der privaten Virtual Network (VNet) des Kunden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Öffentliche IP-Adressen können erstellt und dann später einer Ressource innerhalb eines virtuellen Netzwerks zugeordnet werden.

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Network:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0

Privilegierter Zugriff

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

Features

Azure RBAC für Datenebene

Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann verwendet werden, um den Zugriff auf die Datenebenenaktionen des Diensts zu verwalten. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Um öffentliche IP-Adressen zu verwalten, muss Ihr Konto der Rolle "Netzwerkteilnehmer" zugewiesen werden. Auch eine benutzerdefinierte Rolle wird unterstützt.

Asset-Management

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Ausschließliches Verwenden genehmigter Dienste

Features

Azure Policy-Unterstützung

Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurenotizen: Azure Policy Definitionen können im Zusammenhang mit öffentlichen IP-Adressen konfiguriert werden, z. B. dass öffentliche IP-Adressen ressourcenprotokolle für Azure DDoS Protection Standard aktiviert sind.

Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zu konfigurieren, um Konfigurationen Ihrer Azure-Ressourcen zu überwachen und zu erzwingen. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [ablehnen] und [bereitstellen, falls nicht vorhanden] Effekte, um sichere Konfiguration in Azure-Ressourcen zu erzwingen.

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Features

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an einen eigenen Datensenken wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Wenn Sie kritische Anwendungen und Geschäftsprozesse haben, die auf Azure-Ressourcen basieren, möchten Sie diese Ressourcen für ihre Verfügbarkeit, Leistung und Betrieb überwachen. Ressourcenprotokolle werden erst erfasst und gespeichert, sobald Sie eine Diagnoseeinstellung erstellt und an einen oder mehrere Standorte weitergeleitet haben.

Referenz: Überwachen öffentlicher IP-Adressen

Nächste Schritte