Megosztás a következőn keresztül:


Az Azure biztonsági alapkonfigurációja VPN Gateway

Ez a biztonsági alapkonfiguráció a Microsoft felhőalapú biztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a VPN Gateway. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a VPN Gateway vonatkozó kapcsolódó útmutató alapján van csoportosítva.

Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.

Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.

Megjegyzés

A VPN Gateway nem alkalmazható funkciók ki lettek zárva. A VPN Gateway a Microsoft felhőbiztonsági teljesítménytesztjének teljes VPN Gateway biztonsági alapkonfiguráció-leképezési fájljában tekinthet meg.

Biztonsági profil

A biztonsági profil összefoglalja a VPN Gateway nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.

Szolgáltatás viselkedési attribútuma Érték
Product Category (Termék kategóriája) Hálózatkezelés
Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez Nincs hozzáférés
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában Igaz
Az ügyféltartalmakat inaktív állapotban tárolja Hamis

Hálózati biztonság

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.

NS-1: Hálózati szegmentálási határok létrehozása

Funkciók

Virtuális hálózat integrációja

Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Oktatóanyag: VPN-átjáró létrehozása és kezelése a Azure Portal használatával

Hálózati biztonsági csoport támogatása

Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Network:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani Az alhálózat védelme a potenciális fenyegetések ellen hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k Access Control listára (ACL) vonatkozó szabályok listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. AuditIfNotExists, Letiltva 3.0.0

NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel

Funkciók

Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűrésére (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Identitáskezelés

További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.

IM-1: Központosított identitás- és hitelesítési rendszer használata

Funkciók

Azure AD adatsík-hozzáféréshez szükséges hitelesítés

Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.

Referencia: Azure AD-bérlő és P2S-konfiguráció konfigurálása VPN Gateway P2S-kapcsolatokhoz

IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése

Funkciók

Felügyelt identitások

Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Egyszerű szolgáltatások

Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján

Funkciók

Adatsík feltételes hozzáférése

Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.

Referencia: Azure AD többtényezős hitelesítés (MFA) engedélyezése VPN-felhasználók számára

IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása

Funkciók

A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault

Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Emelt szintű hozzáférés

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.

PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet

Funkciók

Azure RBAC adatsíkhoz

Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása

Funkciók

Ügyfélszéf

Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Adatvédelem

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.

DP-3: Bizalmas adatok titkosítása átvitel közben

Funkciók

Adatok átviteltitkosítás közben

Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Mi az az Azure VPN Gateway?

DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint

Funkciók

Inaktív adatok titkosítása platformkulcsokkal

Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-6: Biztonságos kulcskezelési folyamat használata

Funkciók

Kulcskezelés az Azure Key Vault

Leírás: A szolgáltatás támogatja az Azure Key Vault-integrációt minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-7: Biztonságos tanúsítványkezelési folyamat használata

Funkciók

Tanúsítványkezelés az Azure Key Vault

Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Eszközkezelés

További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.

AM-2: Csak jóváhagyott szolgáltatások használata

Funkciók

Az Azure Policy támogatása

Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: Két szabályzat van meghatározva:

  1. Az Azure VPN-átjárók nem használhatják az "alapszintű" termékváltozatot.
  2. A VPN-átjárók csak Azure Active Directory-hitelesítést (Azure AD) használhatnak a pont–hely felhasználók számára.

Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.

Referencia: Azure Policy azure-beli hálózati szolgáltatások beépített definíciói

Naplózás és fenyegetésészlelés

További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.

LT-4: Naplózás engedélyezése biztonsági vizsgálathoz

Funkciók

Azure-erőforrásnaplók

Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Biztonsági másolat és helyreállítás

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Funkciók

Azure Backup

Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Következő lépések