Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf Virtual WAN an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für Virtual WAN definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features, die nicht für Virtual WAN gelten, wurden ausgeschlossen. Um zu sehen, wie Virtual WAN vollständig dem Microsoft-Cloudsicherheitsvergleichstest zugeordnet ist, sehen Sie sich die vollständige Virtual WAN-Sicherheitsbaselinezuordnungsdatei an.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten mit hohen Auswirkungen von Virtual WAN zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Netzwerk |
| Der Kunde kann auf HOST/Betriebssystem zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | False |
| Speichert ruhende Kundeninhalte | False |
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Features
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Features
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Datenverschlüsselung während der Übertragung für die Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Shared |
Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, bei denen ein systemeigenes Datenfeature in der Transitverschlüsselung integriert ist. Microsoft Azure Virtual WAN bietet benutzerdefinierte Routingfunktionen und Verschlüsselung für Ihren ExpressRoute-Datenverkehr. Die gesamte Routenverwaltung wird vom Router des virtuellen Hubs bereitgestellt, der auch die Transitkonnektivität zwischen virtuellen Netzwerken ermöglicht. Die Verschlüsselung des ExpressRoute-Datenverkehrs mit Virtual WAN ermöglicht eine verschlüsselte Übertragung zwischen den lokalen Netzwerken und virtuellen Azure-Netzwerken über ExpressRoute, ohne Nutzung des öffentlichen Internets oder öffentlicher IP-Adressen.
Referenz: Verschlüsselung während der Übertragung
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Shared |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern. Site-to-Site-VPN in Virtual WAN verwendet pre-shared keys (PSK), die vom Kunden in seiner Azure-Key Vault erkannt, erstellt und verwaltet werden. Implementieren Sie Credential Scanner, um Anmeldeinformationen im Code zu identifizieren. In Credential Scanner wird auch das Verschieben von ermittelten Anmeldeinformationen an sicherere Speicherorte (z. B. Azure Key Vault) empfohlen.
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Shared |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [Bereitstellen, falls nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erstellt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für den Virtual Wan-Dienst und zugehörige Ressourcen. Für Virtual WAN stehen verschiedene Ressourcenprotokolle zur Verfügung und können für die Virtual WAN Ressource mit Azure-Portal konfiguriert werden. Sie können die Daten an Log Analytics senden, an einen Event Hub streamen oder einfach in einem Speicherkonto archivieren. Ressourcenprotokolle werden sowohl für ExpressRoute- als auch für P2S/S2S-VPNs unterstützt.
Referenz: Ressourcenprotokolle
Nächste Schritte
- Übersicht über den Microsoft-Cloudsicherheitstest
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.