Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Bij het Zero Trust-model wordt ervan uitgegaan dat er altijd een inbreuk mogelijk is en dat elke aanvraag wordt geverifieerd alsof deze afkomstig is van een ongecontroleerd netwerk. Azure-netwerkbeveiligingsservices spelen een cruciale rol bij het afdwingen van Zero Trust-principes door verkeer in uw cloudomgeving te inspecteren, filteren en vastleggen.
Met de volgende aanbevelingen kunt u uw Azure-netwerkbeveiligingspostuur beoordelen en beveiligen. Elke aanbeveling bevat koppelingen naar een gedetailleerde handleiding met een beschrijving van de beveiligingscontrole, het risiconiveau en de herstelstappen.
Aanbeveling
Sommige organisaties nemen deze aanbevelingen mogelijk precies zoals geschreven, terwijl anderen ervoor kiezen om wijzigingen aan te brengen op basis van hun eigen bedrijfsbehoeften. We raden u aan om alle volgende besturingselementen waar van toepassing te implementeren. Deze patronen en procedures helpen bij het bieden van een basis voor een beveiligde Azure-netwerkomgeving. In de loop van de tijd worden er meer besturingselementen aan dit document toegevoegd.
Geautomatiseerde evaluatie
Handmatig controleren van deze richtlijnen op basis van de configuratie van uw omgeving kan tijdrovend en foutgevoelig zijn. De Zero Trust Evaluatie transformeert dit proces met automatisering om te testen op deze beveiligingsconfiguratie-items en meer. Meer informatie vindt u in What is the Zero Trust Assessment?
Azure DDoS-beveiliging
Azure DDoS Protection beschermt uw openbare resources tegen gedistribueerde Denial of Service-aanvallen. De volgende aanbevelingen controleren of DDoS-beveiliging is ingeschakeld en goed is bewaakt.
Zie Zero Trust-aanbevelingen voor Azure DDoS Protection voor meer informatie.
| Aanbeveling | Risiconiveau | Gebruikersimpact | Implementatiekosten |
|---|---|---|---|
| DDoS Protection is ingeschakeld voor alle openbare IP-adressen in VNets | Hoog | Laag | Laag |
| Metrieken zijn ingeschakeld voor DDoS-beveiligde openbare IP-adressen | Gemiddeld | Laag | Laag |
| Diagnostische logboekregistratie is ingeschakeld voor met DDoS beveiligde openbare IP-adressen | Gemiddeld | Laag | Laag |
Azure Firewall
Azure Firewall biedt gecentraliseerde afdwinging en logboekregistratie van netwerkbeveiligingsbeleid in uw virtuele netwerken. De volgende aanbevelingen controleren of belangrijke beveiligingsfuncties actief zijn.
Zie Zero Trust-aanbevelingen voor Azure Firewall voor meer informatie.
| Aanbeveling | Risiconiveau | Gebruikersimpact | Implementatiekosten |
|---|---|---|---|
| Uitgaand verkeer van met VNet geïntegreerde workloads wordt gerouteerd via Azure Firewall | Hoog | Laag | Gemiddeld |
| Bedreigingsinformatie is ingeschakeld in de weigermodus op Azure Firewall | Hoog | Laag | Laag |
| IDPS-inspectie is ingeschakeld in de modus Weigeren op Azure Firewall | Hoog | Laag | Laag |
| Inspectie van uitgaand TLS-verkeer is ingeschakeld op Azure Firewall | Hoog | Laag | Laag |
| Diagnostische logboekregistratie is ingeschakeld in Azure Firewall | Hoog | Laag | Laag |
Application Gateway WAF
Azure Web Application Firewall in Application Gateway beschermt webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen. De volgende aanbevelingen verifiëren dat de WAF correct geconfigureerd is en adequaat gemonitord wordt.
Zie Zero Trust-aanbevelingen voor Application Gateway WAF voor meer informatie.
| Aanbeveling | Risiconiveau | Gebruikersimpact | Implementatiekosten |
|---|---|---|---|
| Application Gateway WAF is ingeschakeld en actief in de preventiemodus | Hoog | Laag | Laag |
| Controle van aanvraagbody is ingeschakeld in Application Gateway WAF | Hoog | Laag | Laag |
| Standaardregelset is ingeschakeld in Application Gateway WAF | Hoog | Laag | Laag |
| Set regels voor botbeveiliging is ingeschakeld en toegewezen in Application Gateway WAF | Hoog | Laag | Laag |
| HTTP DDoS-beveiligingsregelset is ingeschakeld in Application Gateway WAF | Hoog | Laag | Laag |
| Snelheidsbeperking is ingeschakeld in Application Gateway WAF | Hoog | Laag | Gemiddeld |
| JavaScript-uitdaging is ingeschakeld in Application Gateway WAF | Gemiddeld | Laag | Laag |
| Diagnostische logboekregistratie is ingeschakeld in Application Gateway WAF | Hoog | Laag | Laag |
Azure Front Door WAF
Azure Web Application Firewall in Front Door beschermt webtoepassingen aan de netwerkrand. De volgende aanbevelingen verifiëren dat de WAF correct geconfigureerd is en adequaat gemonitord wordt.
Zie Zero Trust-aanbevelingen voor Azure Front Door WAF voor meer informatie.
| Aanbeveling | Risiconiveau | Gebruikersimpact | Implementatiekosten |
|---|---|---|---|
| Azure Front Door WAF is ingeschakeld in de preventiemodus | Hoog | Laag | Laag |
| Controle van aanvraagbody is ingeschakeld in Azure Front Door WAF | Hoog | Laag | Laag |
| Standaardregelset wordt toegewezen in Azure Front Door WAF | Hoog | Laag | Laag |
| Regelset voor botbeveiliging is ingeschakeld en toegewezen in Azure Front Door WAF | Hoog | Laag | Laag |
| Snelheidsbeperking is ingeschakeld in Azure Front Door WAF | Hoog | Laag | Gemiddeld |
| JavaScript-uitdaging is ingeschakeld in Azure Front Door WAF | Gemiddeld | Laag | Laag |
| CAPTCHA-uitdaging is ingeschakeld in Azure Front Door WAF | Gemiddeld | Laag | Laag |
| Diagnostische logboekregistratie is ingeschakeld in Azure Front Door WAF | Hoog | Laag | Laag |