Freigeben über


Azure-Sicherheitsbaseline für Azure Public IP

Diese Sicherheitsbaseline wendet Anleitungen des Microsoft Cloud Security Benchmark Version 1.0 auf öffentliche Azure-IP-Adressen an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft Cloud Security Benchmark und den zugehörigen Richtlinien für öffentliche Azure-IP-Adressen definiert werden.

Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen der Portalseite Microsoft Defender für Cloud aufgeführt.

Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Microsoft Cloud Security Benchmark-Kontrollen und Empfehlungen messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.

Hinweis

Features , die nicht für öffentliche Azure-IP-Adressen gelten, wurden ausgeschlossen. Informationen dazu, wie Azure Public IP vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei für die Azure Public IP-Sicherheitsbaseline.

Sicherheitsprofil

Das Sicherheitsprofil fasst das Verhalten von hohen Auswirkungen von Azure Public IP zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.

Dienstverhaltensattribut Wert
Produktkategorie Netzwerk
Der Kunde kann auf HOST/OS zugreifen Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. False
Speichert kundenbezogene Inhalte im Ruhezustand False

Netzwerksicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

Features

Virtual Network-Integration

Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Öffentliche IP-Adressen können erstellt und später einer Ressource in einem virtuellen Netzwerk zugeordnet werden.

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Network:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0

Privilegierter Zugriff

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Privilegierter Zugriff.

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

Features

Azure RBAC für Datenebene

Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Zum Verwalten öffentlicher IP-Adressen muss Ihr Konto der Netzwerk-Mitwirkender-Rolle zugewiesen sein. Auch eine benutzerdefinierte Rolle wird unterstützt.

Asset-Management

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Ausschließliches Verwenden genehmigter Dienste

Features

Azure Policy-Unterstützung

Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Azure Policy Definitionen können in Bezug auf öffentliche IP-Adressen konfiguriert werden, z. B. dass für öffentliche IP-Adressen Ressourcenprotokolle für Azure DDoS Protection Standard aktiviert sind.

Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [bereitstellen, wenn nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Features

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Wenn Sie über kritische Anwendungen und Geschäftsprozesse verfügen, die auf Azure-Ressourcen angewiesen sind, möchten Sie diese Ressourcen auf Verfügbarkeit, Leistung und Betrieb überwachen. Ressourcenprotokolle werden erst erfasst und gespeichert, sobald Sie eine Diagnoseeinstellung erstellt und an einen oder mehrere Standorte weitergeleitet haben.

Referenz: Überwachen öffentlicher IP-Adressen

Nächste Schritte