Az Azure biztonsági alapkonfigurációja Application Gateway
Ez a biztonsági alapkonfiguráció a Microsoft cloud security benchmark 1.0-s verziójának útmutatását alkalmazza a Application Gateway. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Application Gateway vonatkozó kapcsolódó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.
Megjegyzés
A Application Gateway nem alkalmazható funkciók ki lettek zárva. Annak megtekintéséhez, hogy Application Gateway teljesen megfelel-e a Microsoft felhőbiztonsági teljesítménytesztjének, tekintse meg a teljes Application Gateway biztonsági alapkonfiguráció-leképezési fájlt.
Biztonsági profil
A biztonsági profil összefoglalja a Application Gateway nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Hálózatkezelés |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Application Gateway infrastruktúra konfigurációja
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. Hozzon létre NSG-szabályokat a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.
Referencia: Hálózati biztonsági csoportok
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Network:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a potenciális fenyegetések ellen hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k Access Control listára (ACL) vonatkozó szabályok listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Letiltva | 3.0.0 |
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűrésére (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Privát végpontok üzembe helyezése az összes Olyan Azure-erőforráshoz, amely támogatja a Private Link funkciót, és privát hozzáférési pontot hoz létre az erőforrásokhoz.
Referencia: Azure Application Gateway Private Link konfigurálása (előzetes verzió)
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Szolgáltatás megjegyzései: A Application Gateway kezeléséhez korlátozott nyilvános kapcsolat szükséges.
További információért látogasson el a következő oldalra: Application Gateway infrastruktúra-konfiguráció
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Identitáskezelés
További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Szolgáltatásjegyzetek: Bár előfordulhat, hogy a más szolgáltatásokból származó felügyelt identitások nem hitelesíthetők Application Gateway, a Application Gateway használhatja a felügyelt identitásokat az Azure Key Vault való hitelesítéshez, és nem kötelező megadni az üzembe helyezéskor. A szolgáltatás tiszteletben tartja az Azure RBAC-vezérlőket.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Amikor az ügyfél feltölt egy TLS-tanúsítványt, az automatikusan egy felügyelt Azure Key Vault-szolgáltatásban lesz tárolva.
Application Gateway v1 nem támogatja az Azure Key Vault-integrációt. A hitelesítő adatokat és a tanúsítványokat egy másik titkos tár tárolja.
Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és a hitelesítő adatok biztonságos helyeken, például az Azure Key Vault vannak tárolva ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazták őket.
Referencia: TLS-lezárással rendelkező Application Gateway konfigurálása a Azure Portal
Emelt szintű hozzáférés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.
PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-1: Bizalmas adatok felderítése, besorolása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban történő adatfelderítéshez és -besoroláshoz használhatók. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: Az erőforrás-konfiguráción kívül (amely az ügyfél TLS-kiszolgálói tanúsítványait is tartalmazza) Application Gateway csak átmeneti adatokat tárol, miközben proxyzza a kéréseket az ügyfelek háttérrendszeréhez.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: Bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok áthelyezésének monitorozásához (az ügyfél tartalmában). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Az ügyfél erőforrás-konfigurációs adatait a rendszer mindig a vezérlősík TLS-csatornáin keresztül irányítja át. Az adatsík esetében a szolgáltatás lehetővé teszi az ügyfélnek, hogy a TCP és a TLS-változatok közül válasszon. Az ügyfelek a saját igényeik alapján választanak.
Konfigurációs útmutató: Engedélyezze a biztonságos átvitelt olyan szolgáltatásokban, amelyekbe beépített natív adattitkosítási funkció van beépítve. A HTTPS kényszerítése minden webalkalmazáson és szolgáltatáson, valamint a TLS 1.2-s vagy újabb verziójának használata. Az olyan régebbi verziókat, mint az SSL 3.0, a TLS 1.0-s verzióját le kell tiltani. A Virtual Machines távfelügyeletéhez titkosítás nélküli protokoll helyett használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén).
Referencia: A TLS-lezárás és a végpontok közötti TLS áttekintése Application Gateway
DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: Az ügyfél erőforrás-konfigurációval kapcsolatos adatait egy titkosítással kompatibilis tárfiók tárolja, a titkos kulcsokat pedig egy felügyelt Azure-Key Vault tárolja. A DRI/dev elemzéshez csak az erőforrás-konfigurációs adatokat küldi el a Kusto.
Mivel Application Gateway proxytermék, nem tárolja az ügyfél futásidejű adatforgalmát, és egyszerűen a háttérrendszerbe proxyt végez. A szolgáltatás ideiglenesen titkosítatlan formában rendelkezik a hálózati forgalommal a memóriában, miközben a háttérrendszerhez/ügyfélhez proxyz.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: Amikor az ügyfél feltölt egy TLS-tanúsítványt, az automatikusan egy felügyelt Azure Key Vault-szolgáltatásban lesz tárolva.
Application Gateway v1 nem támogatja az Azure Key Vault integrációját. A hitelesítő adatokat és a tanúsítványokat egy másik titkos tár tárolja.
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását, importálását, rotálását, visszavonását, tárolását és törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a megadott szabványokat, például: nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás. A tanúsítvány automatikus rotálásának beállítása az Azure Key Vault és az Azure-szolgáltatásban (ha támogatott) egy meghatározott ütemezés vagy tanúsítvány lejárata alapján. Ha az alkalmazás nem támogatja az automatikus forgatást, győződjön meg arról, hogy az azure-Key Vault és az alkalmazásban manuális módszerekkel is elforgatja őket.
Referencia: TLS-megszakítás Key Vault tanúsítványokkal
Eszközkezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatás megjegyzései: Az Application Gatewayek az ügyfél virtuális hálózatára vannak kiépítve, és a felügyeleti forgalomhoz szükséges bizonyos kivételek kitiltása nélkül az ügyfél alkalmazhatja az összes szükséges Azure-szabályzatot egy virtuális hálózaton.
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja Azure Policy [deny] és [deploy ha nem létezik] effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kikényszerítéséhez.
Referencia: Azure Policy azure-beli hálózati szolgáltatások beépített definíciói
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Engedélyezze az erőforrásnaplókat a szolgáltatáshoz. Például Key Vault támogatja a további erőforrásnaplókat olyan műveletekhez, amelyek titkos kulcsot kapnak egy kulcstartóból, vagy Azure SQL olyan erőforrásnaplókkal rendelkezik, amelyek nyomon követik az adatbázisra irányuló kéréseket. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik.
Referencia: Háttérállapot- és diagnosztikai naplók a Application Gateway
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről