Azure-beveiligingsbasislijn voor Azure Firewall Manager
Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmarkversie 1.0 toe op Azure Firewall Manager. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure Firewall Manager.
U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.
Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.
Notitie
Functies die niet van toepassing zijn op Azure Firewall Manager zijn uitgesloten. Als u wilt zien hoe Azure Firewall Manager volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige Azure Firewall Manager-toewijzingsbestand voor beveiligingsbasislijnen.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag met een hoge impact van Azure Firewall Manager, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Netwerken, beveiliging |
| Klant heeft toegang tot HOST/besturingssysteem | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | False |
| Inhoud van klanten in rust opgeslagen | False |
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identity management (Identiteitsbeheer) voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: de service ondersteunt het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Gegevens-in-transitversleuteling
Beschrijving: de service ondersteunt versleuteling van gegevens-in-transit voor gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Standaard versleuteling van gegevens in transit
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Selecteer een certificaat van een certificeringsinstantie (CA) dat is opgeslagen in Azure Key Vault in uw Firewall Premium-beleid, zodat u Azure Firewall voor TLS-inspectie kunt inschakelen.
Naslaginformatie: Een certificaat configureren in uw beleid
Asset-management
Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen in Azure-resources.
Naslaginformatie: Zelfstudie: Beleidsregels maken en beheren om naleving af te dwingen
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en bedreigingsdetectie voor meer informatie.
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Azure Firewall Manager heeft geen eigen resourcelogboek. Alle diagnostische logboeken zijn ingesloten in het standaard Azure Firewall resourcelogboek.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Back-ups maken en herstellen
Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Azure Backup
Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-upmogelijkheid van service
Beschrijving: de service ondersteunt de eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Azure Firewall Manager heeft geen systeemeigen back-upmogelijkheid, maar u hebt een optie om alle configuratie-instellingen te exporteren met behulp van een ARM-sjabloon.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Meer informatie over Azure-beveiligingsbasislijnen